Information om vinterväghållning

Transkript

1 Kallelse/underrättelse Kommunstyrelsens förvaltning Beslutsorgan Kommunstyrelsens arbetsutskott Tid Tisdag 12 juni, klockan 8.30 Plats Sammanträdesrum A2 Ärenden 1. Val av justerare 2. Anmälan av eventuella övriga ärenden 3. Anmälan av eventuellt jäv 4. Information om vinterväghållning 5. Information från Räddningstjänsten Väst 6. Information om arvodesbestämmelser 7. Policy för informationssäkerhet samt riktlinjer för informationssäkerhet och lagring av digital information (KS 2018/0297-1) 8. Förstudie Grimeton (KS 2018/0278-1) 9. Köp av Varberg Getakärr 9:18 (KS 2018/0279-2) 10. Markanvisning för Bua hamnplan (KS 2016/ ) 11. Svar på motion om att bygga äldreboende i Bua hamn (KS 2017/0388-7) 12. Information om hotelletablering 13. Information om hotelletablering 14. Svar på ansökan om förlustgaranti för Folksam Grand Prix (KS 2018/0316-1) 15. Rapport regionalt samarbete 16. Rapport kurser och konferenser 17. Information från kommunstyrelsens förvaltning POSTADRESS BESÖKSADRESS TELEFON ORGANISATIONSNUMMER E-POSTADRESS Varbergs kommun Engelbrektsgatan 15, Östra Vallgatan 12 (hiss) ks@varberg.se Varberg TELEFAX WEBBPLATS

2 Information om vinterväghållning

3 Information från Räddningstjänsten Väst

4 Information om arvodesbestämmelser

5 Beslutsförslag (3) Dnr: KS 2018/ Kommunstyrelsen Kommunstyrelsens förvaltning Thomas Bengtsson, Policy för informationssäkerhet samt riktlinjer för informationssäkerhet och lagring av digital information Förslag till beslut Arbetsutskottet föreslår kommunstyrelsen föreslå kommunfullmäktige besluta 1. anta policy för informationssäkerhet daterad 16 maj policy för informationssäkerhet ersätter policy för hantering av personuppgifter beslutad på kommunfullmäktige 15 oktober 2013, 117, och policy för informationssäkerhet i Varbergs kommun beslutad på kommunfullmäktige 25 november 2014, 168. Arbetsutskottet föreslår kommunstyrelsen besluta, under förutsättning att fullmäktige antar policy för informationssäkerhet 1. anta riktlinjer för informationssäkerhet daterad 16 maj anta riktlinjer för lagring av digital information daterad 23 maj 2018 riktlinjer för informationssäkerhet ersätter riktlinjer för användning av epost, kalender och snabbmeddelanden beslutad av kommundirektör 1 juni Beskrivning av ärendet Varbergs kommuns policy för informationssäkerhet upphörde formellt att gälla 31 december En allt mer ökad digitalisering och krav från ny och striktare lagstiftning i form av bland annat dataskyddsförordningen (GDPR), gör det nödvändigt att inte bara besluta om en ny policy, utan även utforma ytterligare riktlinjer. Digitaliseringen av vår omvärld är en av vår tids viktigaste samhällsförändrande krafter. För kommunens del handlar det om att göra vardagen enklare för privatpersoner och företag, smartare och öppnare förvaltning samt högre kvalitet och effektivitet i verksamheten. POSTADRESS BESÖKSADRESS Varbergs kommun Engelbrektsgatan 15, Östra Vallgatan 12 (hiss) Varberg TELEFON ORGANISATIONSNUMMER E-POSTADRESS ks@varberg.se TELEFAX WEBBPLATS

6 (3) Dnr: KS 2018/ För att möta upp denna förändring har Sveriges kommuner och landsting (SKL) i sin Strategi för esamhället identifierat fyra strategiska områden, varav ett är informationssäkerhet. I handlingsplanen Förutsättningar för digital utveckling förtydligar SKL att den ökade digitaliseringen kräver att kommuner behöver arbeta systematiskt och riskbaserat med informationssäkerhet, både för att klara ökade krav från lagstiftning, behov i verksamheten samt att skydda information för att upprätthålla förtroendet från privatpersoner och näringsliv. Som stöd i detta arbete ska, enligt SKL, kommunerna införa Ledningssystem för informationssäkerhet (LIS). Genom ett LIS kan arbetet med informationssäkerhet styras på ett systematiskt sätt för att kunna planera, genomföra, kontrollera, följa upp, utvärdera och förbättra säkerheten i verksamheternas informationshantering. Behovet av systematiskt arbete med informationssäkerhet är även något som finns med i och omnämns i Varbergs kommuns digitala policy samt i den digitala agendan. Beslutsunderlag Beslutsförslag 24 maj Policy för informationssäkerhet. Riktlinjer för informationssäkerhet. Riktlinjer för lagring av digital information. Övervägande Föreslagna policy och riktlinjer för informationssäkerhet består av dels förhållningsregler för kommunens medarbetare men även beskrivning av organisation, roller och ansvar som behövs för att arbeta med systematisk informationssäkerhet. Genom att besluta och sedan låta verksamheterna implementera policyn och riktlinjerna får Varbergs kommun möjlighet att implementera flera av de mer centrala delarna av ett LIS. Konsekvenserna av detta blir att Varbergs kommuns verksamheter får en grundläggande plattform för att på ett säkert sätt arbeta vidare med digitaliseringen. Policyn och riktlinjerna tar även skyddet av personuppgifter i beaktan och kan därav utgöra en viktig del i Varbergs kommuns arbete med efterlevnad av Dataskyddsförordningen, GDPR. Policy för hantering av personuppgifter och riktlinjer för användning av epost, kalender och snabbmeddelande föreslås ingå i den nya policyn och riktlinjen för informationssäkerhet.

7 (3) Dnr: KS 2018/ Ekonomi och verksamhet Implementering av policyn och riktlinjerna kan initialt betyda ett ändrat arbetssätt och nya rutiner för medarbetare i många verksamheter, vilket kan upplevas som en administrativ börda. Erfarenheten från andra organisationer som arbetar efter ett LIS är att detta ändras efter en tid till att istället upplevas som ett stöd i det dagliga arbetet där medarbetarna känner en trygghet i att informationen hanteras på ett säkert och korrekt sätt. Implementering av somliga av de IT-tekniska aspekterna av riktlinjerna kan initialt leda till högre kostnader för drift av IT-system. Detta ska ställas mot att förändringarna syftar till att åtgärda brister och motverka risker som på sikt kan leda till oförutsedda utgifter, kostnader och värdeläckage som följd av otillgängliga system, ej tillförlitlig information, viten och skadestånd för olaglig röjande av sekretess och personuppgifter samt negativ påverkan på Varbergs kommun som varumärke. Riktlinjer för lagring av digital information syftar dessutom till att göra det tydligare kring vilken information som bör lagras internt respektive i molntjänster. Genom en mer renodling av information efter skyddsvärde borde fler system än i dagsläget kunna hanteras genom molntjänster med lägre kostnader för IT-drift som följd. Kommunstyrelsens förvaltning Henrik Lundahl Kanslichef Protokollsutdrag Samtliga nämnder Thomas Bengtsson Strateg för informationsförvaltning

8 Styrdokument Kommunstyrelsens förvaltnig Thomas Bengtsson, Policy för informationssäkerhet Dokumenttyp: Dokumentnamn: Policy för informationssäkerhet Diarienummer: Policy Beslutad av: Beslutsdatum: Giltig till och med: Kommunfullmäktige KS 2018/0297 Tillsvidare Gäller för: Dokumentansvarig avdelning: Varbergs kommun Kommunkansliet Senast reviderad: 1 (2)

9 2 (2) Policy för informationssäkerhet Vad är information? Kommunens informationstillgångar består av all information som finns inom kommunens verksamheter oavsett var den lagras, bearbetas och kommuniceras. Information kan vara i form av text, ljud och bilder och kan hanteras med stöd av IT, papper eller direkt mellan människor i form av tal. Varför är det viktigt att informationen skyddas? Information är en tillgång av strategisk betydelse för kommunens verksamheter och är en förutsättning för att kommunen ska kunna leva upp till de krav och behov som finns från invånare, näringsliv, föreningar, besökare, forskning och myndigheter. Vår information behöver därför skyddas och hanteras på rätt sätt. Vad menas med informationssäkerhet? Informationssäkerhet handlar om att skapa och upprätthålla lämpliga rutiner och skydd utifrån aspekterna: Konfidentialitet - att informationen inte tillgängliggörs eller avslöjas för obehöriga, Riktighet att informationen är korrekt, aktuell och fullständig, Tillgänglighet att informationen är åtkomlig och användbar för de som behöver den. Hur ska Varbergs kommun arbeta med informationssäkerhet? För att säkerställa att kommunen bedriver ett långsiktigt och systematiskt arbete med informationssäkerhet ska arbetet vara verksamhetsdrivet och riskorienterat. Arbetet ska även baseras på etablerade standarder och samverkan med andra kommuner och aktörer men beslut och ställningstaganden ska alltid baseras på egna bedömningar och analyser. Det löpande arbetet med kommunens informationstillgångar ska ta både resurseffektivisering och säkerhet i beaktande. Vid oklarheter ska försiktighetsprincipen ha företräde. Vem har ansvar för informationssäkerheten? Ansvaret för informationssäkerheten följer den ordinarie verksamhetsansvaret. Detta gäller från kommunledningen till den enskilde medarbetaren och innebär att den som är ansvarig för en verksamhet även är ansvarig för informationssäkerheten inom verksamhetsområdet. Informationssäkerhetssamordnaren och andra som arbetar specifikt med informationssäkerhet, IT-säkerhet eller andra relaterade frågor, fungerar som stöd till kommunens verksamheter att fullfölja informationssäkerhetsanavaret. Vilka gäller policyn för? Policyn gäller för samtliga aktörer som hanterar kommunens information och omfattar alla informationstillgångar inom kommunens samtliga verksamheter. Det går där med inte att besluta om lokala regler som avviker från denna policy.

10 Styrdokument Kommunstyrelsens förvaltning Thomas Bengtsson, Riktlinjer för informationssäkerhet Dokumenttyp: Dokumentnamn: Diarienummer: Riktlinje Riktlinjer för informationssäkerhet KS 2018/0297 Beslutad av: Beslutsdatum: Giltig till och med: Kommunstyrelsen Tillsvidare Gäller för: Dokumentansvarig avdelning: Varbergs kommun Kommunkansliet Senast reviderad: 1 (59)

11 2 (59) Riktlinjer för informationssäkerhet Innehåll Inledning Kapitel A: Informationssäkerhet för medarbetare Kapitel B: Styrning av informationssäkerhet Kapitel C: Informationssäkerhet i verksamhetsnära förvaltning Kapitel D: Informationssäkerhet i IT-miljön Bilaga 1: Termer och definitioner

12 3 (59) Inledning Varbergs kommuns policy för informationssäkerhet är ett övergripande dokument som redovisar kommunens övergripande mål och inriktning med informationssäkerhet. Riktlinjer för informationssäkerhet (detta dokument) konkretiserar policyn med mer detaljerad information och regler för hur information får hanteras inom kommunens verksamheter. Riktlinjernas omfattning Dessa riktlinjer innehåller information och regler för säkerhet vid all hantering av information inom Varbergs kommuns samtliga verksamheter. I undantagsfall kan undantag från del av riktlinjerna beslutas av nämnd. Beslut om undantag ska samrådas med informationssäkerhetsanvarig. Undantag får som längst gälla i 2 år och ska sedan omprövas för att klargöra om omständigheterna som föregick undantaget fortfarande gäller. Struktur och läsanvisning För att ge god läsbarhet är dokumentet uppdelat i fyra kapitel som riktar sig till olika målgrupper. Kapitel A: Informationssäkerhet för medarbetare. Riktar sig till samtliga medarbetare och tillfällig extern personal. Består av information och regler för hur information och IT ska hanteras i olika situationer. Kapitel B: Styrning av informationssäkerhet. Riktar sig till alla som arbetar med och har ansvar inom IT- och informationssäkerhet. Består av information om ansvarsfördelning för informationssäkerhet och riktlinjer för hur arbetet med informationssäkerhet ska bedrivas. Kapitel C: Informationssäkerhet i verksamhetsnära förvaltning. Riktar sig till informations- och/eller systemägare samt systemförvaltare. Består av information och riktlinjer för informationssäkerhet för verksamhetssystem. Kapitel D: Informationssäkerhet i IT-nära förvaltning. Riktar sig till samtliga chefer och medarbetare på IT-avdelningen. Består av information och riktlinjer för hur information och IT ska hanteras inom IT-miljön. Varje kapitel består av både informativa avsnitt och riktlinjer som är obligatoriska. För riktlinjer som styr hantering av konfidentiell information eller information med höga skyddskrav är nämnda termer alltid markerade med fetstil för att göra läsaren extra

13 4 (59) uppmärksam. I Kapitel A, som riktar sig till alla medarbetare, är samtliga riktlinjer dessutom numrerade och presenterade i tabellform. Kapitel A, Informationssäkerhet för medarbetare, har strukturerats för att stämma överens med utbildningen DISA (Datorstödd informationssäkerhetsutbildning för användare) som utarbetats av MSB (Myndigheten för samhällsskydd och beredskap). Tanken är att läsaren ska kunna genomgå utbildningen parallellt med läsningen av kapitel A. Informationsklassning är en central del av arbetet med informationssäkerhet och finns med genomgående i riktlinjerna. Hur information är klassad ska styra hur den ska skyddas och hanteras. Varbergs kommuns modell för informationsklassning beskrivs i Kapitel B och regler för hur information ska klassas och skyddas utifrån denna återfinns i respektive kapitel. Introduktion till informationssäkerhet Informationssäkerhet handlar om att skapa och upprätthålla lämpligt skydd för information. Detta innefattar information i alla dess former så som text, bild, film och ljud och oavsett hur den lagras, bearbetas och kommuniceras. Det kan vara med hjälp av IT, papper eller direkt som tal. Medan IT-säkerhet fokuserar på säkerhet i IT-miljöer så handlar informationssäkerhet om all information oavsett form. Det inkluderar förutom IT-system även information på papper och till och med som vi har i våra huvuden. Information och de resurser som används för att hantera information benämns informationstillgångar. Informationssäkerhet utgörs av tre aspekter, vilket betyder att en informationstillgång ska vara: konfidentiell - att information inte tillgängliggörs eller avslöjas för obehöriga, riktig - att information är korrekt, aktuell och fullständig, och tillgänglig att information är åtkomlig och användbar av behörig. Olika typer av händelser (incidenter), som kan vara oavsiktliga eller avsiktliga, kan försämra konfidentialiteten, riktigheten eller tillgängligheten hos informationstillgångar. Information kan på ett oönskat sätt till exempel stjälas, raderas förändras eller göras otillgänglig. En viss informationsmängd har krav på sig gällande de tre aspekterna som kan vara interna eller härledas från rättsliga krav eller förväntningar och behov från externa aktörer. Rättsliga krav i form av lagar, förordningar, föreskrifter och avtal ställer krav på en verksamhets informationshantering som ofta inbegriper krav på konfidentialitet,

14 5 (59) riktighet och tillgänglighet. Dessutom har ofta externa aktörer behov och förväntningar som påverkar informationssäkerheten i Varbergs kommuns verksamheter. Kapitel A: Informationssäkerhet för medarbetare Inledning Detta kapitel vänder sig till alla medarbetare i Varbergs kommun. Riktlinjerna gäller även externa personer som har åtkomst till Varberg kommuns information, till exempel inhyrda konsulter. Riktlinjerna beskriver det ansvar man som medarbetare har vid hantering av information i Varbergs kommun och vilka regler som gäller. Varbergs kommun är en stor organisation med många skilda verksamheter. Det kan därav finnas behov av att ta fram lokala riktlinjer. Avvikelser från dessa riktlinjer får dock aldrig göras utan särskilt tillstånd. Riktlinjerna för informationssäkerhet för medarbetare följer i stort en struktur som tagits fram av Myndigheten för samhällsskydd och beredskap (MSB) för att utbildning i informationssäkerhet, Datorstödd informationssäkerhetsutbildning för användare (DISA). Syftet med upplägget är att medarbetarna i Varberg ska kunna genomföra DISAutbildningen och parallellt gå igenom riktlinjerna och se vad som gäller i Varberg kommun. DISA består av 10 avsnitt om informationssäkerhet. Varje avsnitt består av en kort film med tillhörande information och frågor. Hela utbildningen tar omkring 25 minuter att gå igenom. Varberg kommuns riktlinjer skiljer sig från DISA-utbildningen genom att endast bestå av 8 avsnitt eftersom information och regler för mobila enheter, smarta telefoner och surfplattor slagits samman till ett avsnitt (A2). DISA-utbildningen och dessa riktlinjer finns tillgängliga på Varbergs kommuns plats för informationssäkerhet på medarbetarwebben. Innan avsnitten om informationssäkerhet för medarbetare finns särskilda avsnitt som beskriver medarbetarnas ansvar för informationssäkerhet, informationsklasser samt avsnitt om personuppgifter, sekretess och allmänna handlingar.

15 6 (59) Medarbetarnas ansvar för informationssäkerhet Information är en viktig resurs för Varbergs kommun som är av stor betydelse för alla våra verksamheter. Information kan förekomma i olika former, den kan vara muntlig, skriftlig eller finnas i ett IT-system. Information förekommer främst i form av text men kan även förekomma som bilder, symboler, filmer och ljud. Viss information måste skyddas från obehöriga. Det handlar ofta om skydd av den personliga integriteten för att undvika att enskilda individer kommer till skada. Det finns många lagar och föreskrifter som kommunen måste leva upp till. Privatpersoner, näringsliv, besökare, anställda och andra myndigheter har förväntningar och behov av att Varbergs kommun hanterar information på ett säkert sätt. Informationssäkerhet handlar om att skapa och upprätthålla lämpligt skydd för att motsvara dessa krav. Information behöver olika former av skydd. Det kan vara tekniskt såsom en brandvägg i ett IT-system, eller administrativ, i form av regler, eller fysiskt, hur man skyddar utrymmen med dörrar, lås, skåp med mera. Även medarbetarnas kunskap och medvetenhet är ett viktigt skydd. Säkerhet är aldrig starkare än sin svagaste länk och där är därför viktigt att alla fyra typer av säkerhet fungerar tillsammans på ett bra sätt. En viktig del av Varbergs kommuns informationssäkerhet beror därför på hur varje enskild medarbetare hanterar den information som förekommer inom sin verksamhet. Varbergs kommun ställer krav på att varje enskild medarbetare följer dessa riktlinjer för informationssäkerhet. Varje chef har i sin tur ansvar för att säkerställa att sina medarbetare har den kunskap och de verktyg som behövs för att kunna efterleva riktlinjerna. Om du som medarbetare eller externt kontrakterad person har tillgång till konfidentiell information ska du skriva under en tystnads- och sekretessförbindelse. En sådan förbindelse gäller även efter att anställningen eller avtalet upphört. Vid underlåtenhet att följa riktlinjerna för informationssäkerhet följer Varbergs kommun de rättigheter och skyldigheter som åligger kommunen enligt lagar och avtal. Alvarliga förseelser kan resultera i polisanmälan eller avsked. Skyldighet att rapportera incidenter Alla medarbetare har skyldighet att rapportera incidenter eller brister som kan medföra negativ påverkan på Varbergs kommuns information. Det kan till exempel röra sig om: IT-angrepp eller intrång, skadlig kod, konfidentiell information som varit åtkomlig för obehöriga, eller brister i efterlevnad av riktlinjerna för informationssäkerhet.

16 7 (59) Incidenter som rör IT- och informationssäkerhet eller personuppgifter ska skyndsamt rapporteras till Kundservice. Meddela även din närmaste chef. Medarbetare som har upptäckt incidenter eller svagheter där brott kan misstänkas, ska inte själva försöka bevisa sådant då det kan försvårar en eventuell utredning. Informationsklasser Viss information är mer känslig än annan. Behovet av skydd skiljer sig därför mellan olika typer av information och i olika situationer. Informationens skyddsbehov beror på legala krav och på vilka konsekvenser det skulle få för verksamheten, externa parter eller enskilda individer om informationen hanteras felaktigt, till exempel om den sprids till obehöriga. I Varbergs kommun finns fyra klasser för att kategorisera informationen samt hur de får spridas: Konfidentiell information utgörs av sådana uppgifter som berörs av sekretess samt så kallade särskilda kategorier av personuppgifter enligt artikeln 9 i Dataskyddsförordningen, det vill säga uppgifter som avslöjar en fysisk persons etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, genetiska och biometriska uppgifter, uppgifter om hälsa eller sexualliv eller sexuella läggning. Till kategorin hör även skyddade personuppgifter. Konfidentiell information får endast vara tillgänglig för enskilda medarbetare som har ett direkt behov av att hantera informationen. Konfidentiell information får aldrig spridas publikt till exempel på kommunens webbplatser eller webbdiarium. Känslig information utgörs av sådana uppgifter som har ett något högre skyddsvärde än den som klassas som intern, men som samtidigt inte riktigt når upp till det skyddsbehov som finns för information som är klassad som konfidentiell. Det kan röra sig uppgifter om den enskildes personliga och ekonomiska förhållanden, omdömen, person- och samordningsnummer, kontooch bankkortsnummer, uppgifter om lagöverträdelser, uppgifter om barn och unga, aggregerade personuppgifter (det vill säga en stor mängd personuppgifter av en eller några få typer eller en större mängd om enskilda individer). Vad som skiljer den från intern information är att det ställs högre krav på behörighet så att endast de medarbetare som har ett faktiskt och direkt behov av

17 8 (59) informationen får ha tillgång till den samt att den inte kan spridas på samma sätt som den interna informationen. Känslig information får aldrig spridas publikt till exempel på kommunens webbplatser eller i ett webbdiarium. Intern information kännetecknas av att den består av så kallade harmlösa personuppgifter så som namn, telefonnummer, adress, e-postadress, fastighetsbeteckning, användar-id med mera. Intern information kan normalt vara tillgänglig för en avdelning, enhet eller arbetsgrupp som kan ha behov av att hantera informationen. Om intern information ska göras publikt tillgänglig, till exempel genom publicering på kommunens webbplats eller genom ett webbdiarium, ska det finnas ett tydligt allmänt intresse. Publiceringen måste även föregås av en granskning Publik information utgörs dels av all den information som inte består av några personuppgifter alls. Till kategorien räknas även information som förvisso består av personuppgifter, men som kan anses som publikt kända och oproblematiska för allmän spridning, så som tjänstemän, fackligt förtroendevalda och politiska företrädares personuppgifter som har samband med deras tjänsteutövande eller uppdrag. Sådana uppgifter kan vara namn, politisk eller facklig tillhörighet, uppgift om ansvarig handläggare eller liknande information. Publik information har normalt inga krav på åtkomstbegränsning utan kan spridas fritt inom och utom Varberg kommun. Observera att det dock kan behövas beslut för att publicera publik information på till exempel kommunens webbplatser. För Publik information gäller de normala hanteringsregler som finns i avsnitt A1A8 i dessa riktlinjer. Särskilda regler finns för känslig och konfidentiell information. I detta kapitel är all information som gäller konfidentiell information markerad med fetstil. Observera att det tillkommer ytterligare riktlinjer för hur information från de fyra olika klasserna i kapitel B, C och D samt även utifrån aspekterna riktighet och tillgänglighet. Dessa kapitel är dock främst avsedda för systemförvaltare, systemägare, den interna IT-driftsorganisationen samt för de som arbetar med systematisk informationssäkerhet. För de flesta medarbetare är dock endast graden av konfidentialitet relevant som det beskrivs i detta kapitel.

18 9 (59) Personuppgifter Vid samtliga av Varbergs kommuns verksamheter hanteras personuppgifter. Dessa måste hanteras med hänsyn till vad som regleras i Dataskyddsförordningen. Personuppgifter förekommer inom samtliga fyra informationsklasser som används av Varbergs kommun. I vilken klass om en personuppgift hamnar beror på flera olika faktorer, och även mängden personuppgifter behöver beaktas eftersom den bestämmer hur detaljerad bild av en person som kan erhållas. Det betyder att flera personuppgifter som var för sig bedöms som harmlösa tillsammans kan bilda en kontext som är att betrakta som känslig eller konfidentiell. Arbetsmaterial, allmänna handlingar och sekretess En handling är allmän om den är förvarad, inkommen till eller upprättad hos kommunen. Allmänheten har rätt att ta del av allmänna handlingar och kommunen har skyldighet att hantera en sådan begäran skyndsamt. Allmänna handlingar kan förekomma i digital form eller som papper och ska hanteras, bevaras och gallras i enlighet med nämndernas dokumenthanteringsplaner om inte annat regleras i lagstiftning. Information som är allmän handling kan vara sekretessbelagd enligt Offentlighets och sekretesslagen (2009:400). Sådana handlingar ska alltid klassas som konfidentiell information och får endast lämnas ut efter en sekretessbedömning genomförts. Avslag på begäran av allmän handling får endast beslutas av medarbetare som har särskild delegation för detta. Information som ännu inte anses som upprättad är att betrakta som arbetsmaterial. Det kan vara handlingar till ett ärende som är under handläggning och beredning, verksamhetsinterna meddelanden eller minnesanteckningar. Arbetsmaterial kan förekomma inom samtliga fyra klasser. Observera att en informationsmängd som är att betrakta som arbetsmaterial kan komma att klassificeras i en högre klass än när den blir upprättad. A1. Lösenord För att få behörighet till kommunens interna nätverk eller i IT-system krävs att du har ett användarkonto och lösenord. Lösenordet du får från Kundservice ska du byta till ett personligt lösenord efter första inloggningen. Lösenordet ska betraktas som en värdehandling och missbruk eller oaktsamhet kan leda till disciplinär påföljd. Ett bra lösenord, som bara du känner till, är den

19 10 (59) lättaste vägen till god informationssäkerhet. Ett lösenord ska vara lätt att minnas men samtidigt vara såpass komplext att ingen annan kan gissa sig till det. Det är viktigt att du väljer ett lösenord som du kommer ihåg så att du slipper att skriva ned det. TIPS! Skapa lösenord utifrån meningar. Ta en mening som du lätt kommer ihåg. Förkorta ord och lägg till/byt ut bokstäver till siffror. Exempel: Mening: Klockan 10 går 2 bilar till Norrköping Lösenord: K10g2btN Kontakta kundservice om du glömt ditt användar-id eller lösenord. Riktlinjer för hantering av lösenord och inloggning A1.1 Samma lösenord får inte användas privat och i jobbet. Olika lösenord ska dessutom användas för olika tjänster på webben även om de är arbetsrelaterade. På så vis minskar risken att någon kommer åt information. A1.2 Bytt ditt lösenord omedelbart om du misstänker att någon känner till det. A1.3 Lösenord är personliga och får inte delas mellan kollegor. Du kan i så fall bli ansvarig för något som någon annan har gjort. I de fall en dator delas av flera ska ändå personliga inloggningar göras eftersom det är viktigt för spårbarheten att kunna veta vem som har gjort vad i systemet. A1.4 Automatisk minnesfunktion för lösenord ska inte användas. Om du loggar in på webbsidor ska du inte låta webbläsaren spara lösenordet, utan alternativet Nej ska användas om du får en sådan fråga. Detta är särskilt viktigt då en dator delas av flera. Använd webbläsarens funktion för att i efterhand ta bort webbhistorik/lösenord om du är osäker på om lösenord har lagrats på en webbplats. A1.5 Undvik säkerhetsfrågor (secret questions). Spärrat/glömt användarnamn eller lösenord för användarkonto Efter fem misslyckade inloggningsförsök på din dator kommer ditt konto att låsas i fem minuter, varefter nya inloggningsförsök kan göras. Vid glömt användar-id eller lösenord vänder du dig till Kundservice. A2. Mobila enheter Med mobil enhet menas bärbara datorer (laptop), USB-minne, CD/DVD-skiva, extern hårddisk samt smart mobiltelefon och surfplatta.

20 11 (59) Riktlinjer för hantering av mobila enheter A2.1 Den IT-utrustning som tillhandahålls av Varbergs kommun är personliga arbetsredskap och får inte lånas ut eller överlåtas om det inte är en enhet som delas av flera. A2.2 Uppsatta säkerhetsinställningar i enheter får inte ändras. A2.3 Endast godkända programvaror får installeras på enheten. A2.4 Installerad programvara får inte kopieras eller installeras på annan enhet. A2.5 Mobila enheter ska låsas med lösenord. A2.6 Konfidentiell information som hanteras på mobila enheter måste vara krypterad. Se även riktlinjer om smarta telefoner och surfplattor nedan. A2.7 Viktig information bör inte lagras enbart på en mobil enhet, i så fall ska den snarast kopieras över till kommunens nätverk så att informationen kan säkerhetskopieras. A2.8 Endast av kommunen godkänd enhet och programvara får anslutas till kommunens nät. A2.9 Privat utrustning kan anslutas till kommunens gästnät. A2.10 Enheter får endast anslutas till nätverk som är kända och skyddade med lösenord. A2.11 Distansarbete är endast tillåtet på enheter och utrustning som är tilldelad av Varbergs kommun. A2.12 Det är inte tillåtet att använda kommunens VPN-anslutning från en privat dator. Riktlinjer för fysisk hantering av mobila enheter A2.13 Försiktighet ska iakttas vid arbete i publika miljöer, exempelvis kan skärmen skyddas med sekretesskydd. A2.14 Arbete med konfidentiell information får inte ske i publika miljöer. A2.15 Mobila enheter får inte lämnas utan uppsikt och ska förvaras i säkert och skyddat utrymme. A2.16 Förlust av enhet ska omedelbart anmälas till kommunens Kundservice. I vissa fall finns det möjlighet att fjärradera information. A2.17 Vid avslutning av anställning eller av bytte till annan enhet ska mobila enheter återlämnas till Kundservice för säker destruktion/radering och får inte behållas privat eller av en verksamhet. Särskilda regler för smarta telefoner och surfplattor Förutom de riktlinjer som gäller allmänt för mobila enheter gäller även följande vid användning av smarta telefoner och surfplattor.

21 12 (59) Riktlinjer för smarta telefoner och surfplattor A2.19 Det finns ett stort utbud av appar att lada ner till den smarta telefonen eller surfplattan. Många av dessa appar kan innehålla skadlig kod. I syfte att minska denna risk är det endast tillåtet att lada ner appar från App store, Google Play och andra apportaler som är kontrollerade av Varbergs kommun. A2.20 Konfidentiell information får endast hanteras i en smart telefon eller surfplatta om särskilda åtgärder vidtagits. A2.21 Smarta telefoner och surfplattor ska ha aktiverat skärmlås. A3. Skadlig kod Skadlig kod är ett samlingsbegrepp för oönskade datorprogram som virus, trojaner, spionprogram och maskar. Dessa kan installeras på en dator eller nätverk utan administratörens samtycke, och har utvecklats i syfte att störa IT-system, för att samla in information eller för att utnyttja datorkraft eller minneskapacitet i IT-utrustning. Skadlig kod är ett växande problem och den blir allt mer sofistikerat och intelligent och kan vara svårt att upptäcka och kan utföra avancerade operationer. Man behöver i dag inte vara tekniskt kunnig för att skapa skadlig kod, utan det mesta kan beställas och köpas på olika marknadsplatser på Internet. Exempel på i dag förekommande skadlig kod: trojaner som skapar bakdörrar i datorerna så att andra personer får tillgång till dessa utan ägarens vetskap i syfte att, till exempel, lagra olaglig information, keyloggers är en form av trojan som kan avlyssna lösenord och skicka dessa vidare, och ransomware som krypterar filer eller diskar på en dator, smart telefon eller surfplatta och sen kräver en lösensumma för informationen ska bli tillgänglig igen. Spridning av skadlig kod Skadlig kod kan spridas till din dator, smarta telefon eller surfplatta när du öppnar bilagor i e-post, importerar filer eller surfar på Internet eller sociala medier och klickar på länkar. Avsändare till e-post kan manipuleras så att de egentligen kommer från annan än den som anges, webbsidor är inte alltid de som de utger sig för att vara och identiteter kan kappas, till exempel på Facebook. Vid så kallad Phishing luras mottagaren att klicka på en länk som leder till en sida där du ombeds att fylla i koder, lösenord eller

22 13 (59) kontonummer. Var observant på detta och fyll aldrig i sådana uppgifter. Myndigheter, seriösa företag och organisationer ber aldrig om uppgifter på detta sätt. IT-utrustning som drabbats av skadlig kod, även ett smittat USB-minne, kan om det kopplas in i kommunens nätverk, sprida den vidare och orsaka stora skador. Kommunens datorer är utrustade med skydd mot skadlig kod. Det innebär inte ett fullständigt skydd eftersom utvecklingen av skadlig kod går väldigt snabbt. Alla medarbetare kan också bidra ett bra skydd mot skadlig kod genom att följa dessa riktlinjer: Riktlinjer för skydd mot skadlig kod A3.1 Stäng aldrig av, eller på annat sätt inaktivera, de skydd som finns installerat mot skadlig kod. A3.2 Anslut endast godkänd IT-utrustning till kommunens nätverk. A3.3 Var vaksam och undvik att klicka på misstänksamma länkar eller att fylla i irrelevanta uppgifter. A3.4 Öppna bifogade filer endast om de kommer från en känd avsändare och en bilaga är förväntad. A3.5 Var observant på om IT-utrustningen beter sig långsamt eller konstigt. Vid misstanke om skadlig kod kontakta omedelbart Kundservice. A4. Internet och sociala medier Internet och sociala medier kan vara till stor nytta och glädje både privat och i arbetet. Kommunens nätverk är anslutet till Internet via en brandvägg som reglerar in- och utgående trafik. När du använder Internet kan säkerheten i kommunens lokala nätverk påverkas i mycket hög grad beroende på ditt beteende. När du surfar på Internet, tänk då på att du representerar Varbergs kommun och lämnar spår efter dig i form av din IP-adress och att all trafik genom kommunens brandvägg loggas. För ytterligare information om loggning, se avsnitt A7. Förutom de riktlinjer som är kopplade till skadlig kod i avsnitt A3 finns här särskilda bestämmelser för användning av Internet och sociala medier: Riktlinjer för användning av Internet A4.1 De lagar och regler som gäller i samhället för i övrigt gäller såklart även på Internet. Tryckfrihetsförordningen, brottsbalken och lagen om upphovsrätt är exempel på lagar som du måste beakta när du använder Internet, i ditt arbete så väl som privat.

23 14 (59) A4.2 A4.3 A4.4 För material från Internet som du tänker använda i tjänsten, så får nedladdning eller installation av upphovsrättsligt material endast ske med stöd av lag, avtal eller med skriftligt tillstånd från rättighetsinnehavaren. Du får endast i begränsad omfattning använda Internet för privata syften. Utrymmeskrävande filmer, program och spel för privat bruk får dock inte laddas ned, strömmas, lagras, eller spridas genom kommunens nätverk. Internet är ett öppet nätverk. Information som klassas som publik kan ofta publiceras och delas via Internet. Information som är klassad som intern kan göras publikt tillgänglig, till exempel genom publicering på kommunens webbplats eller genom ett webb-diarium, endast om det finns ett tydligt syfte. Publiceringen måste även föregås av en dokumenterad utredning samt beslut. Information som är klassad som känslig eller konfidentiell får aldrig publiceras eller delas på Internet. Uttalanden och andra aktiviteter som görs på Internet kan påverka allmänhetens uppfattning om den enskilda tjänstemannen som utför aktiviteten så väl som för Varbergs kommun som organisation. Det är därför särskilt viktigt att som representant för Varbergs kommun beakta god etik och gott omdöme på Internet. Varbergs kommuns etiska regler och värderingar ska följas även vid användning av internet och sociala medier. Tänk därför på att: Etiska riktlinjer vid användning av Internet och sociala medier A4.5 All kommunikation på Internet och sociala medier som sker från Varbergs kommuns datorer ska vara saklig och etisk oavsett om den sker i tjänsten eller i privata syften. A4.6 Webbplatser med till exempel brottslig verksamhet, rasism, diskriminering eller pornografiska innehåll får endast besökas om du har ett tydligt och dokumenterat syfte därtill. Tänk på att alla webbplatser du besöker loggas och du kan komma att behöva förklara varför du besökt en viss webbplats. A4.7 Publicera inte på Internet eller sociala medier sådant som är oärligt, osant, vilseledande eller kränkande. Tänk på att det som publiceras är synligt och offentligt för allmänheten, sprids snabbt samt finns kvar under lång tid. Tänk därför igenom innehållet noga innan du publicerar. Vid användning av sociala medier är det ofta svårt med gränsdragningen mellan privat användning och användning i yrkesrollen. När du använder sociala medier i tjänsten är du i första hand en representant för Varbergs kommun. Men även när du använder sociala medier utanför ditt jobb kommer du med all sannolikhet att förknippas med din arbetsgivare.

24 15 (59) Gallring av sociala medier sker enligt kommunens dokumenthanteringsplanerar där det är angivet att det kan göras när inläggen inte längre är aktuella. En av de grundläggande funktionerna i sociala medier är kommentarsfält där allmänheten kan kommentera och diskutera de inlägg som kommunen gör. Kommentaren består av personuppgifter i form av namn och ofta bild på den som lämnat kommentaren. För att säkerställa att dessa personuppgifter inte finns tillgängliga längre än nödvändigt ska följande riktlinje tillämpas: Riktlinjer för gallring av personuppgifter i sociala medier A4.8 Inlägg på sociala medier som baserar sig på samtycke får inte finnas publikt tillgängliga längre än två månader och ska sedan gallras eller avlägsnas för arkivering. A4.8 Kommentarsfält på sociala medier får inte finnas publikt tillgängliga längre än två månader och ske sedan gallras eller avlägsnas för arkivering För mer information om hur du ska hantera sociala medier, se Varbergs kommuns handbok i sociala medier samt handbok för bildhantering enligt GDPR, A5. E-post och korrespondens E-post är för många medarbetare det vanligaste och viktigaste sättet att kommunicera internt inom kommunen men även med externa parter. Det är dock viktigt att tänka på att kommunikation med e-post ofta är helt öppen. Att skicka e-post som inte är skyddad på rätt sätt kan jämföras med att skicka ett vykort. Riktlinjer för ansvar för e-post A5.1 Den enskilde medarbetaren som är ansvarig för ett personligt e-postkonto är alltid ansvarig för den e-post som skickas från kontot. A5.2 Medarbetare är ansvarig för att löpande öppna, läsa och besvara e-post. Detta ska minst varje dag. Vid frånvaro, till exempel för semester, sjukfrånvaro och föräldraledighet, ska autosvar användas, där du ger avsändaren information om din frånvaro, när du väntas åter samt hänvisar till vem man kan vända sig till istället. Vid avslut av anställning ska kontot tas bort. Vid längre tid tjänsteledighet ska kontot frysas. A5.3 E-postkonton som används av flera, till exempel en myndighetsbrevlåda eller funktionsbrevlåda, ska ha utpekad ansvarig.

25 16 (59) Det är ofta olämpligt att använda e-post för att behandla personuppgifter långsiktigt. Epost är inte en säker förvaring och det kan vara svårt att hitta uppgifter om en enskild i eposten eller säkerställa att uppgifterna blir borttagna när de inte längre behövs. För att göra det lättare att följa dataskyddsförordningen är det därför viktigt att flytta vissa uppgifter från e-posten till ett lämpligare system, som ett ärendehanteringssystem eller kundregister samt att rensa inkorgen reglerbundet på sådant som inte länge behövs. Riktlinjer för hantering av personuppgifter i e-post A5.4 E-post som inkommer som består av konfidentiell eller känslig information ska omedelbart överföras till mer lämplig plats och där efter raderas från epostklienten. A5.5 För att säkerställa att det inte ackumuleras allt för stor mängd harmlösa personuppgifter får e-postmeddelande oavsett innehåll inte ligga kvar längre än 6 månader i enskilda medarbetares inkorgar och maximalt två år i mappar kopplade till e-postklienten. A5.6 Om efterlevnaden av vad som anges i A5.5 visar sig bristfällig ska funktioner för automatisk och löpande radering av e-post införas och verkställas. Riktlinjer kring allmänna handlingar och e-post A5.5 E-post som inkommer är en allmän handling om innehållet är arbetsrelaterat. Vid hanteraring av arbetsrelaterad e-post ska alltid lagar och regler för registrering och gallring följas. Huvudregeln är att om ett e-post som inkommer initierar ett ärende eller tillför uppgift i ett ärende ska den registreras. Enklast sker detta genom att du omgående vidarebefordrar e-posten till förvaltningens eller verksamhetens registrator. A5.6 E-post som är av ringa eller tillfällig betydelse behöver inte registreras utan ska gallras när du inte längre behöver dem. Exempel kan vara en förfrågan om öppettider för kommunens simhall eller när terminsstart är. Riktlinjer för privat e-post A5.7 E-postkonto från Varberg kommun får inte användas som medarbetarens primära privata e-postkonto. Om privata e-postmeddelande ändå inkommer till Varbergs kommuns e-postkonto ska dom regelstyras till en separat mapp för privata meddelanden så att de inte blandas med de arbetsrelaterade meddelandena. A5.8 Det är inte tillåtet att använda privata e-postkonto för arbetsrelaterade ändamål.

26 17 (59) A5.9 A5.10 Det är inte tillåtet att använda e-postkontot från Varberg kommun för att registrera dig som användare på olika tjänster på Internet så som Facebook eller Instagram. Det är inte tillåtet att automatiskt vidarebefordra e-post till privata epostkonton. Riktlinjer för kommunikation med externa parter A5.10 Publik och intern information får skickas till externa parter med den vanliga eposten. A5.11 Kommunikation med känslig och konfidentiell information med externa parter får endast ske med godkända verktyg och metoder för säker digital kommunikation. Riktlinjer för kommunikation internt inom kommunen A5.12 För korrespondens med öppen, intern och känslig information kan den vanliga e-posten användas inom kommunen, det vill säga mellan två e-postadresser som slutar A5.13 Kommunikation med konfidentiell information får inom kommunen endast ske med godkända verktyg och metoder för säker digital kommunikation. Se kommunens handbok för säker digital kommunikation som kommer utarbetas under hösten 2018 för att få mer information om vilka verktyg och metoder som kan användas för olika kommunikationsbehov. A6. Lagring och säkerhetskopiering Det är viktigt att information lagras på ett säkert sätt och säkerhetskopieras så att den kan återskapas i händelse av diskkrasch, oavsiktlig radering eller som följd av krypteringsvirus. Riktlinjer för lagring och säkerhetskopiering A6.1 Information ska lagras på nätverket så att den säkerhetskopieras. Det kan vara personliga filareror (W:, Onedrive), gemensamma filareor (F:) eller specifikt verksamhetssystem. A6.2 Om information behöver lagras på lokal hårddisk, se till att regelbundet kopiera över informationen till nätverket. A6.3 Om information oavsiktligt gått förlorat, till exempel om man av misstag raderat ett dokument, ska man omedelbart kontakta Kundservice. Förhoppningsvis kan dom återskapa dokumentet från den senaste säkerhetskopian.

27 18 (59) A6.4 A6.5 A6.6 Konfidentiell och känslig information får endast lagras i därför avsedda och godkända system och lagringsytor som har funktioner för att begränsa åtkomsten till informationen och kan ge adekvat spårbarhet. Lokal lagring av Konfidentiell information, till exempel på en persondator eller minnessticka, får endast ske undantagsvis och om lagringsenheten eller filerna är krypterade av Varberg kommun godkänd metod för kryptering eller åtgärd som bedöms likvärdig. Fysiska dokument som innehåller konfidentiell information ska förvaras inlåst. Riktlinjer för lagring i molntjänster A6.7 Endast godkända molntjänster är tillåtna att använda. Kontrollera vilka molntjänster som är tillåtna inom din verksamhet. A7. Spårbarhet och loggning Loggning sker i kommunens datorer och nätverk. Loggarna används för felsökning och för utredning av incidenter eller för att förhindra brott. Loggarnas lagras under en vis tid och är åtkomlig endast för en begränsad grupp administratörer. Spårbarhet innebär att man genom loggning kan identifiera vem som har gjort vad och när samt följa förloppet för olika händelser på datorn. All Internettrafik och e-post loggas centralt. Varberg kommun har som arbetsgivare rätt att, utan att meddela användaren, gå igenom dessa loggar för att kontrollera efterlevnad av lagstiftning och riktlinjer. Vid misstanke om brott kan loggfilerna komma att lämnas ut till rättskipande myndighet utan att du som kontoinnehavande meddelas. A8. Säkert beteende En stor del av kommunens information hanteras muntligt och på papper. Vi kommunicerar dagligen både formellt och informellt på detta sätt och vi måste bete oss särskilt försiktigt då vi hanterar konfidentiell och känslig information. Tänk på att det alltid finns informell information som inte i förhand är definierad och klassad, utan som skapas i det ögonblick den uttalas eller skrivs. Konfidentiell och i normalfallet även känslig information har en begränsad krets av behöriga som får ta del av den. Detta måste beaktas så att inte obehöriga kan höra sådan information på arbetsplatsen, både i arbetssituationer men även i informella sammanhang, t.ex. vid fikabordet.

28 19 (59) Riktlinjer för muntlig information A8:1 Du får endast prata om konfidentiell information i stängda utrymmen och även försäkra dig om att fysiska samtal inte hörs i intilliggande rum. A8:2 Endast publik information utan skyddsvärda uppgifter får kommuniceras hörbart utanför arbetsplatsen, exempelvis vid fysiska samtal på tåget eller i telefonsamtal på fikarasten. Riktlinjer för information på skärmar och på papper A8.3 Arbete med konfidentiell information får inte ske i öppna arbetsplatser. A8.4 Besökare får inte vistas utan uppsikt i lokaler där konfidentiell information kan förekomma. Mottagare av besök ansvarar för besökare så länge de befinner sig i kommunens lokaler. Obekanta personer i sådana lokaler ska tillfrågas om vem dom söker och hjälpas till rätta. A8:5 Skriftligt material som består av konfidentiell information får inte ligga framme eller vara synliga så att obehöriga kan läsa dem. Materialet ska förvaras inlåst när man lämnar arbetsplatsen, även för kortare stunder. A8:6 Skärmen/datorn ska låsas när man lämnar arbetsplatsen, även för en kortare stund. Om man har ett så kallat smart kort till datorn ska detta tas bort när man lämnar arbetsplatsen. A8:7 Vid fysisk posttjänst ska förslutna brev användas för känslig och intern information. Konfidentiell information får endast skickas med rekommenderade försändelser. A8:8 Då konfidentiell information överförs via fax ska man försäkra sig om att man har rätt nummer (t.ex. genom att använda kortnummer) och att mottagarens fax är övervakad under överföringstillfället. Man ska inte lämna faxen förrän överföringen är klar. A8:9 Pappersdokument som består av konfidentiell eller känslig information måste vid kassering strimlas eller kastas i godkända sekretesskärl.

29 20 (59) Kapitel B: Styrning av informationssäkerhet Inledning Detta kapitel beskriver och reglerar hur arbetet med informationssäkerhet ska bedrivas i Varbergs kommun. Det beskriver även hur ansvarsfördelningen ser ut i stort samt vilka roller som förekommer, direkt och indirekt, i arbetet med informationssäkerhet inom hela kommunen. Ansvar för varje målgrupp finns även i varje kapitel. Den primära målgruppen för detta kapitel är de som arbetar med informations- och ITsäkerhet, hantering av personuppgifter eller som har ansvar för informationssäkerhet inom en förvaltning, enhet, avdelning, process eller projekt. I kapitlet ges även en introduktion till informationsklassning och den modell för detta som Varbergs kommun antagit i och med dessa riktlinjer. B1. Roller, ansvar och organisation

30 21 (59) Grundprincip Ansvaret för informationssäkerhet följer det ordinarie verksamhetsansvaret. Det innebär att den som är ansvarig för en viss verksamhet, så som en förvaltning, avdelning, enhet process, projekt eller liknande, även är ansvarig för informationssäkerheten inom verksamhetsområdet. Kommunens informationssäkerhetansvarige och övriga som arbetar kommuncentralt med informationssäkerhet, IT-säkerhet eller andra angränsande frågor fungerar som stöd till verksamheterna så att de kan ta ansvar för det egna arbetet med informationssäkerhet. Övergripande ansvar Kommunfullmäktige utrycker sin viljeriktning genom Policy för informationssäkerhet. Kommunstyrelsen beslutar om riktlinjer och regler för hur informationssäkerhetsarbetet ska bedrivas i enlighet med policyn. Kommunstyrelsen har även ansvar för samordning och uppföljning av arbetet med informationssäkerhet. Nämndernas ansvar Varje nämnd är ansvarig för informationssäkerhet inom sitt verksamhetsområde. Varje nämnd kan besluta om instruktioner som kompletterar de centrala riktlinjerna för informationssäkerhet. Varje nämnd kan i undantagsfall även besluta om undantag från del av riktlinjerna. Beslut om avsteg ska samrådas med informationssäkerhetsanvarig. Undantag får som längst gälla i 2 år och ska sedan omprövas för att klargöra om omständigheterna som föregick undantaget fortfarande gäller. Kommunstyrelse, nämnder och kommunala bolag är även personuppgiftsansvariga inom respektive verksamhetsområde. Som personuppgiftsansvarig har de det yttersta ansvaret för att all behandling av personuppgifter sker i enlighet med Dataskyddsförordningen. För kommungemensamma processer ska personuppgiftsansvaret klargöras genom reglemente eller överenskommelse. Kommunstyrelsen är att betrakta som personuppgiftsansvarig för personal- och ekonomiprocesserna. För de behandlingar som utförs av Varberg direkt och IT-avdelningen, för kommunens verksamheter, så är den beställande verksamhetens nämnd fortfarande att betrakta som personuppgiftsansvarig. Ansvar inom respektive verksamhet Verksamhetsansvarig, oavsett nivå, ansvarar för informationssäkerheten inom sin verksamhet. Det åligger varje verksamhetsansvarig att se till att medarbetarna efterlever

31 22 (59) riktlinjer, har ett adekvat säkerhetsmedvetande och tillräcklig förståelse och kunskap för att lämplig säkerhet i verksamheten kan uppnås. Säkerhetsansvaret i sig kan inte delegeras, däremot kan ansvaret för att utföra somliga arbetsuppgifter fördelas. Medarbetares ansvar Alla medarbetare inom verksamheten har ett ansvar för verksamhetens informationssäkerhet. Varje anställd ska i sitt egna arbete följa riktlinjerna för informationssäkerhet. Varje anställd har även skyldighet att rapportera informationssäkerhets- och personuppgiftsrelaterade brister och incidenter. Se Kapitel A för riktlinjer för informationssäkerhet för medarbetare. Arkivmyndighet och kommunarkiv I Varbergs kommun är Kommunstyrelsen även Arkivmyndighet. Arkivmyndigheten har tillsynsansvar för att kommunens arkivhandlingar hanteras i enlighet med arkivlagen. Tillsynen ska bland annat säkerställa att information skyddas från stöld, manipulation, obehörig åtkomst eller oavsiktlig gallring och kan således sägas vara nära sammankopplat med arbete med informationssäkerhet. Arkivmyndighetens verkställande enhet utgörs av kommunarkivet. Objektägares ansvar En objektägare är den som är ansvarig för ett givet objekt. Som objekt avses främst verksamhetssystem men även en lokal kan ofta sägas utgöra ett relevant objekt för arbete med informationssäkerhet. Systemägaren har ansvar för att säkerställa att IT-systemet klassas och att säkerheten ordnas i enlighet med klassningen. Fastighetsavdelningen ansvarar för att kommunens lokaler har ett adekvat skydd anpassat för den information som de verksamheter som finns i lokalen använder. Det kan till exempel röra sig om skalskydd, larm, passersystem och arkivlokaler. Se kapitel C för ytterligare riktlinjer för informationssäkerhet i verksamhetsnära förvaltning.

32 23 (59) IT-avdelningens ansvar Ansvar för informations- och IT-säkerhet inom IT-avdelningen följer ordinarie verksamhetsansvar. Det betyder att chefer och medarbetare inom respektive verksamhetsområde ansvarar för att upprätthålla rätt nivå av informations- och ITsäkerhet för de processer och IT-resurser de ansvarar för. Se kapitel D för ytterligare riktlinjer om IT-avdelningens ansvar. IT-säkerhetssamordnare Det ska på IT-avdelningen finnas en utpekad person som innehar rollen som ITsäkerhetssamordnare. Denna har till uppgift att samordna arbetet med säkerheten i kommunens IT-miljö. Se kapitel D för ytterligare beskrivning av rollen IT-säkerhetssamordnare. Informationssäkerhetsansvarig Kommunens arbete med informationssäkerhet leds och samordnas av informationssäkerhetsansvarig som bland annat ansvarar för: att kommunens styrande dokument inom området är aktuella, att utveckla och förvalta metoder, vägledningar och annat stödmaterial inom området, kompetensförsörjning och att öka medvetandet om informationssäkerhet inom kommunen, att stödja verksamheternas arbete med informationssäkerhet, kontroll och uppföljning av informationssäkerhet, omvärldsbevaka inom området, vid behov sammankalla kommunens råd för informationssäkerhet och integritetsskydd, sammankalla kommunens nätverk för samordnare för informationssäkerhet och integritetsskydd, samt svara för samråd av undantag från riktlinjer för informationssäkerhet. Rådet för informationssäkerhet och integritetsskydd Informationssäkerhetsansvarig är sammankallande för kommunens råd för informationssäkerhet och integritetsskydd. Rådet ska bestå av deltagare både från den central förvaltningen och olika fackförvaltningar. Fokus är det kommungemensamma perspektivet snarare än det förvaltningsspecifika. Rådet har till uppgift att: vara rådgivande gentemot informationssäkerhetsanasvarig,

33 24 (59) bereda ärenden kring informationssäkerhets och integritetsskydds som hänskjutits från andra instanser så som Digitaliseringsgruppen och Ledningsgrupp för digitalisering, fungera som styrgrupp/referensgrupp för projekt eller aktiviteter som berör informationssäkerhet och integritetsskydd, och vara ett forum för erfarenhetsutbyte och omvärldsbevakning. Roller och organisation på förvaltningarna För att Varbergs kommun ska kunna arbeta systematiskt och förebyggande med informationssäkerhet och integritetsskydd är det av största vikt att arbetet förankras inom de verksamheter som är ägare och ansvariga för informationen. För att underlätta och kvalitetssäkra detta arbete är det nödvändigt att fastställa ansvar och organisation för arbetet. För att möjliggöra nämnderna och verksamheternas arbete med att stärka och upprätthålla en god informationssäkerhet och integritetsskydd är det även nödvändigt att utse två specifika roller på varje förvaltning, samordnare för informationssäkerhet och samordnare för integritetsskydd. Det finns redan i dag flera roller/titlar som redan kan sägas utföra uppgifter som är angränsande till det som åligger samordnarna. Det kan röra sig om registratorer, arkivredogörare, IT-kontaktpersoner, personuppgiftsombud, strateger och utvecklare. Vid tilldelning av de nya samordningsrollerna kan det med fördel ske i kombination med någon av de angränsande rollerna med syfte att uppnå synergieffekter och möjliggöra för rollerna att stärka sin kompetens inom området. När verksamheterna tillsätter rollerna bör möjligheten beaktas att samverka mellan förvaltningar för att om möjligt renodla rollerna och dela på den kompetens som finns inom området. Samordnare för informationssäkerhet Varje förvaltning ska utse minst en medarbetare som har till uppgift att samordna förvaltningens arbete med informationssäkerhet. Förvaltningar med omfattande verksamhet kan vid behov utse fler som vardera ansvarar för samordningen inom det område som tilldelats. Samordnaren för informationssäkerhet har till uppgift att: samordna verksamhetens arbete med informationssäkerhet, samordna arbete med att åtgärda de brister som framkommit i förvaltningens handlingsplan för informationssäkerhet, vara behjälplig vid klassificering av verksamhetens information och IT-system, vara behjälplig med att genomföra risk- och sårbarhetsanalyser till exempel inför upphandling av IT-system eller utkontraktering av verksamhet,

34 25 (59) säkerställa att rapporterade informationssäkerhetsincidenter följs upp och åtgärdas, vara ett stöd till ledningen och verksamheten i arbetet med informationssäkerhet, omvärldsbevaka kring informationssäkerhet utifrån det egna verksamhetsperspektivet, vara förvaltningens representant i det kommunövergripande nätverket för informationssäkerhet och integritetsskydd beträffande informationssäkerhetsfrågor, regelbundet rapportera till nämnd och förvaltningsledning om arbete med att stärka och upprätthålla en god informationssäkerhet, och ha löpande kontakt med kommunens informationssäkerhetsansvarig. Samordnare för integritetsskydd Varje förvaltning ska utse en medarbetare som har till uppgift att samordna förvaltningens arbete med integritetsskydd. Samordnaren har till uppgift att: upprätta registerförteckningar och revidera dom vid behov, vara behjälplig med att bedöma om personuppgiftsincidenter behöver vidarerapporteras till tillsynsmyndigheten och om de registrerade behöver informeras, vara ett stöd till personuppgiftsansvarig, förvaltningsledningen och verksamheten i arbetet med att göra intresseavvägningar och stärka integritetsskyddet, vara kommunens dataskyddsombud behjälplig samt fungera som länk mellan dataskyddsombud och personuppgiftsansvarig, omvärldsbevaka kring integritetsskydd utifrån det egna verksamhetsperspektivet, regelbundet rapportera till personuppgiftsansvarig och förvaltningsledningen om arbetet att stärka och upprätthålla ett gott integritetsskydd, vara förvaltningens representant i det kommunövergripande nätverket för informationssäkerhet och integritetsskydd beträffande integritetsskyddsfrågor, vid behov inhämta råd och stöd från kommunens dataskyddsombud. Observera att samordnaren för integritetsskydd avser inte att ersätta eller utföra uppgifter som åligger det dataskyddsombud som nämnden utsett. B2. Dokumentsstruktur För att stärka och upprätthålla en god informationssäkerhet är fyra dokument av central betydelse: Policy för informationssäkerhet är ett övergripande dokument som utrycker den politiska ledningens viljeriktning med informationssäkerhet. Policyn beslutas av

35 26 (59) kommunfullmäktige och uppdateras vid behov. Policyn riktar sig till alla medarbetare och externa personer exempelvis konsulter. Riktlinjer för informationssäkerhet (detta dokument) innehåller regler för hantering av information. Riktlinjerna är uppdelade efter kapitel som riktar sig till olika målgrupper. Riktlinjerna beslutas av kommunstyrelsen och uppdateras vid behov. Informationssäkerhetsanalys är en genomlysning av informationssäkerheten och integritetsskyddet i Varbergs kommun. Analysen genomförs med full styrka vart fjärde år men justeringar kan genomföras löpande till exempel som följd av legala krav, ändringar inom organisationen eller förändrad omvärld. Analysrapporten ligger till grund för hur arbetet med informationssäkerhetsarbete ska bedrivas som formuleras i handlingsplaner för informationssäkerhet. Handlingsplan för informationssäkerhet tas fram årligen för varje förvaltning/verksamhet och innehåller konkreta mål och åtgärder som ska genomföras. Handlingsplanerna är baserad på den analys som är genomförd. Metoder, modeller, vägledningar och andra övergripande stöddokument kan arbetas fram centralt för att stödja arbetet med att stärka och upprätthålla en god informationssäkerhet. Förvaltningar, avdelningar och enheter ska själva avgöra det egna behovet av att ta fram mer specifika instruktioner och rutiner i syfte att konkretisera det som framgår av policyn och riktlinjerna för informationssäkerhet. B3. Informationsklassning Informationsklassning är en grundläggande del i arbetet med systematisk informationssäkerhet. Genom att klassificera information utifrån aspekterna konfidentialitet, riktighet och tillgänglighet får vi förståelse för, och kan styra det skydd som krävs för olika informationsmängder. I första hand handlar det om att säkerställa att skyddet blir tillräckligt, men en viktig aspekt är även att undvika ett överdrivet skydd med onödiga kostnader. Klassning av information ska ske utifrån rättsliga krav, men även interna krav på informationens värde och betydelse för verksamheterna ska vägas in. I den vägledande standarden för informationssäkerhet (SS-ISO/IEC 27002) rekommenderas att organisationen tar fram en gemensam modell för klassning av information. En sådan modell definierar nivåer av skyddskrav kopplat till de tre aspekterna konfidentialitet, riktighet och tillgänglighet.

36 27 (59) Varbergs kommuns modell för informationsklassning Varbergs kommun har i och med dessa riktlinjer antagit en modell för informationsklassning som baseras på, och i stora drag samstämmer med, Sveriges nationella modell som är framtagen av Myndigheten för samhällsskydd och beredskap (MSB) och Swedish standards institute (SIS). Kravnivå Konfidentialitet Riktighet Tillgänglighet 3. Höga skyddskrav Konfidentiell information som, om den sprids till obehöriga, kan medföra allvarlig negativ påverkan för Varbergs kommun, externa aktörer eller enskilda individer. Information som, om den ej är riktig och fullständig, kan medföra allvarlig negativ påverkan för Varbergs kommun, externa aktörer eller enskilda individer. Information som, om den ej är tillgänglig, kan medföra allvarlig negativ påverkan för Varbergs kommun, externa aktörer eller enskilda individer. 2. Förhöjda skyddskrav Känslig information som, om den sprids till obehöriga, kan medföra betydande negativ påverkan för Varbergs kommun, externa aktörer eller enskilda individer. Information som, om den ej är riktig och fullständig, kan medföra betydande negativ påverkan för Varbergs kommun, externa aktörer eller enskilda individer. Information som, om den ej är tillgänglig, kan medföra betydande negativ påverkan för Varbergs kommun, externa aktörer eller enskilda individer. 1. Normala skyddskrav Intern information som, om den sprids till obehöriga, kan medföra måttlig negativ påverkan för Information som, om den ej är riktig och fullständig, kan medföra måttlig Information som, om den ej är tillgänglig, kan medföra måttlig negativ påverkan för Varbergs kommun,

37 28 (59) 0. Låga skyddskrav Varbergs kommun, externa aktörer eller enskilda individer. negativ påverkan för Varbergs kommun, externa aktörer eller enskilda individer. externa aktörer eller enskilda individer. Publik information kan i regel spridas fritt inom och utom Varbergs kommun. - - Figur 1: Varbergs kommuns modell för informationsklassning Modellen innehåller kolumner för de tre aspekterna konfidentialitet, riktighet och tillgänglighet samt rader för nivåer av skyddskrav låg (0), normal (1), förhöjd (2) och hög (3). Endast aspekten konfidentialitet kan ha låga skyddskrav, det vill säga 0. Sådan information är att betrakta som helt publik och kan till exempel publiceras på kommunens externa webbsidor (beslut kan krävas innan publicering). Observera att all information, även publik sådan, alltid har som minst normala skyddskrav när det gäller dess riktighet och tillgänglighet. Tanken med att klassificera information är att skyddet ska anpassas till kraven på en viss informationsmängds konfidentialitet, riktighet och tillgänglighet. Information som klassas enligt modellen ska bedömas utifrån alla tre aspekter och får då en viss profil, till exempel Skyddsåtgärder kan sedan kopplas till de olika aspekterna och nivåerna till exempel för hur information ska lagras, intervall för säkerhetskopiering och kryptering. I riktlinjerna förekommer specifika regler kopplat till de olika nivåerna. Dessa presenteras även samlat som en matris som finns som bilaga till dess riktlinjer. Observera att ytterligare krav och behov än de som preciseras i dessa riktlinjer kan framkomma vid klassningen. Vad ska klassificeras? Det är information som är den primära tillgången och som därav ska klassificeras. Klassningen styr sedan vilka skyddsåtgärder som dom olika nivåerna av skyddskrav medför. Resurser som används för att hantera informationen så som programvaror, tjänster och fysiska tillgångar, ska utforma och anpassas till de krav som klassningen i förläggningen ställer på dem.

38 29 (59) IT-system ska klassas efter den information som finns i eller hanteras av systemen. En viktig uppgift för systemägare och systemförvaltare är därför att klassas sina system så att rätt skyddskrav erhålls. Det praktiska arbetet med att genomföra klassificering kan med fördel utföras med hjälp av verktyget KLASSA som erbjuds kostnadsfritt av Sveriges kommuner och landsting (SKL). Användningsområden och målgrupper Modellen vänder sig till de i Varbergs kommun som är verksamhetsansvariga (se ovan) och/eller ägare av information, ett IT-system eller annan IT-resurs. Den klassade information utgör et underlag för en verksamhet som vid kravställning av tjänster så som IT-tjänster, både interna och externa. Identifiering och klassificering av information bör ske initialt när behovet ska analyseras men kan även ske som ett led i löpande förbättring eller vid förändring av verksamheter eller IT-system. För de flesta medarbetare är endast aspekten konfidentialitet av intresse, vilket betonas i kapitel A som riktar sig till alla medarbetare. B4. Ledningssystem för informationssäkerhet I Varbergs kommuns policy för informationssäkerhet anges att arbetet ska baseras på etablerade standarder. Varbergs kommun beslutar i och med dessa riktlinjer att arbetet med informationssäkerhet ska utgå från standardserie SS-ISO/IEC med målet att skapa ett ledningssystem för informationssäkerhet (LIS). Ett LIS är ett etablerat koncept för systematiskt arbete med informationssäkerhet och innebär metodik i syfte att upprätta, införa, driva, övervaka, granska, underhålla och förbättra organisationens informationssäkerhet. LIS avser här inte ett IT-baserat system, även om IT-stöd kan användas i delar av ett LIS. Ett systematiskt arbete med informationssäkerhet med ett ledningssystem syftar i stort till att informationssäkerhet anpassas regelbundet efter interna och externa förutsättningar och behov, och som därigenom upprätthåller ett lämpligt skydd över tid. I Varbergs kommun har arbetet med att skapa ett ledningssystem påbörjats i och med dessa riktlinjer där roller, ansvar och modell för informationsklassning är viktiga delar. För att planera och införa ett LIS kommer dock arbete att behöva fortgå även under de närmaste åren.

39 30 (59) B5. Personalsäkerhet Personal är Varbergs kommuns viktigaste resurs, och det är personal som dagligen hanterar information både manuellt och med stöd av IT-system. Många roller kommer i kontakt med och hanterar kritisk och konfidentiell information och det är därför viktigt att personalen får information och utbildning om informationssäkerhet samt att det finns rutiner i samband med anställning, förändring eller avslut av anställning. Före och i samband med anställning Bakgrundskontroll av sökande till tjänster I Varbergs kommun ska ske genom verifiering av meritförteckning. För vissa kritiska tjänster krävs en förstärkt kontroll i form av kreditupplysning och kontroll i brotts- och belastningsregistret. Sådana kritiska tjänster är höga chefstjänster, säkerhetstjänster eller de som har åtkomst till samhällsviktig information. För befattningar som är av betydelse för Sveriges säkerhet eller som har åtkomst till information som berörs av Säkerhetsskyddslagen (1996:627) ska en registerkontroll utföras i anställningsförfarandet. Registerkontroll ska även utföras vid anställning av personal när så krävs av annan lag eller författning. Nyanställda ska delges ansvar och skyldigheter kring informationssäkerhet, genomgå utbildning i informationssäkerhet samt ta del av de delar av riktlinjer för informationssäkerhet som är relevant för den specifika medarbetaren. Alla anställda och externa aktörer som får tillgång till konfidentiell information ska först underteckna ett sekretssavatal som även gäller efter att anställningen är avslutad. Under anställning Alla medarbetare och i förekommande fall externa aktörer ska erhålla lämplig utbildning för att kunna efterleva kommunens policy och riktlinjer för informationssäkerhet. Roller som har särskilda uppgifter inom informationssäkerhet ska få lämpliga fortbildning inom områden som är relevanta för respektive befattning. Om anställda bryter mot gällande informationssäkerhetsregler ska dessa ärende hanteras individuellt av ansvarig chef med stöd av personalavdelningen på samma sätt som vid annan misskötsel. Avslut eller ändring av anställning Vid avslut eller ändring av anställning kan ansvar och skyldigheter kring sekretess och tystnadsplikt fortsätta vara gällande om den anställde haft tillgång till konfidentiell information. Detta ska kommuniceras till den anställde när denne påbörjar, förändrar och avslutar sin anställning och framgå i sekretessavtalet.

40 31 (59) Återlämnande av IT-resurser och indrag av åtkomsträttigheter till information och ITresurser ska ske i direkt samband med avslut eller ändring av anställning. För att säkerställa att detta sker ska det finnas en fastställd och känd rutin för återkoppling från personalkontoret till IT-avdelningen. B6. Leverantörsrelationer För att säkerställa och underlätta verksamheternas arbete med informationssäkerhet ska det finnas en vägledning med informationssäkerhetskrav som ska baseras på Varbergs kommuns modell för informationsklassning. Kravkatalogen ska kunna användas som stöd vid upphandling av IT-tjänster. Se även riktlinjer för upphandling av IT-resurser i Kapitel D7. B7. Efterlevnad och granskning För att säkerställa det systematiska arbetet med informationssäkerhet ska efterlevnaden av de styrande dokumenten följas upp. Granskning och uppföljning av informationssäkerhet kommer att utvecklas genom det ledningssystem (LIS) som ska införas i Varbergs kommun. Revision av Varbergs kommuns informationssäkerhet ska genomföras regelbundet. Granskning av efterlevnad av informationssäkerhet bör genomföras av extern part. Sårbarheter och brister som upptäcks vid granskning ska tas upp för åtgärdande i genomförandeplaner, till exempel förvaltningsplaner för IT-system eller specifik handlingsplan för informationssäkerhet. Akuta brister som uppkommer ska åtgärdas omedelbart. Större sårbarheter och brister ska rapporteras till rådet för informationssäkerhet. För ytterligare riktlinjer för granskning av IT-säkerhet, se kapitel D, avsnitt 10. C. Informationssäkerhet i verksamhetsnära förvaltning Inledning I Varbergs kommun hanteras IT-system utifrån modellen Digitala tjänsters livscykel samt beslutad systemförvaltarmodell som består av ett antal principer och regler som

41 32 (59) den verksamhetsnära förvaltningen ska förhålla sig till, till exempel ska det till varje ITsystem finnas en förvaltningsplan. I förvaltningsplanen finns en rad åtgärder angivna varav somliga är direkt relaterade till informationssäkerhet och integritetsskydd. Detta kapitlet kompletterar med särskilda riktlinjer rörande informationssäkerhet i verksamhetsnära förvaltning och riktar sig främst till roller i denna. I kapitel D som riktar sig till Varbergs kommuns IT-avdelning återfinnas riktlinjer för informationssäkerhet i den IT-nära förvaltningen. Roller och ansvar Nedan beskrivs ansvar rörande informationssäkerhet för roller i den verksamhetsnära förvaltningen. Systemägare För samtliga system ska det finnas en utsedd systemägare. Systemägaren är normalfallet förvaltningschef eller annan chef som har budget- och verksamhetsansvar samt god insyn och förståelse för den verksamhet eller process som systemet ska stötta. Systemägaren kan dela ut uppgifter men aldrig frånsäga sig ansvaret. Systemägaren ansvarar för att Varbergs kommuns policy och riktlinjer för informationssäkerhet efterlevs i systemet. Systemägaren ska besluta om systemets säkerhetsnivåer genom att klassning sker av systemets information i enlighet med Varbergs kommuns modell för informationsklassning. Systemägaren ska tilldela tillräckligt med resurser till systemets förvaltningsplan så att informationssäkerhetsnivån kan uppnås. Se Varbergs kommuns Systemförvaltarmodell för ytterligare beskrivning av rollen. Systemförvaltare För samtliga verksamhetssystem ska minst en systemförvaltare vara utsedd. Systemförvaltaren utses av systemägaren för ett specifikt system och har i regel sin hemvist i samma verksamhet som systemägaren men kan även köpas som tjänst från ITavdelningen. Systemförvaltaren har det operativa uppdraget att förvalta system i enlighet med Varbergs kommuns Systemförvaltningsmodell genom att genomföra de aktiviteter som där regleras. Systemförvaltaren har även till uppgift att utföra informationssäkerhetsrelaterade aktiviteter som framkommit till exempel vi informationsklassning eller påtalad brist samt andra uppgifter kopplade till systemet som tilldelats från systemägaren

42 33 (59) Se Varbergs kommuns Systemförvaltarmodell för ytterligare beskrivning av rollen. Informationsägare En informationsägare är den som har ansvar för en viss informationsmängd. Informationsägaren ska avgöra hur informationen ska klassas och utifrån de ställa krav på hur den kan och får hanteras och användas. Om ett system har en homogen mängd information som på ett tydligt sätt kan kopplas till den verksamhet som systemägaren ansvarar för, så är i normalfallet systemägaren även informationsägare. I de fall systemägaren inte även är informationsägare för den information som hanteras i systemet, till exempel i kommunens diarieföringssystem, så är informationsägaren kravställare till systemägaren vad gäller de säkerhetsbehov som behöver tillfredsställas. I de fall som systemägaren och informationsägaren inte finns inom samma verksamhet så ska det tydligt framgå av systemdokumentationen. C1. Dokumentation av informationssäkerhet Informationssäkerhet ska vara en naturlig del i förvaltningen av verksamhetssystem. Säkerhetsförhållanden ska vara dokumenterade i systembeskrivningar och planerade säkerhetsåtgärder ska ingå i förvaltningsplanen så att de formellt fastställs av systemägaren och har en budget och tidsplan. Informationsrelaterade mål och åtgärder ska finnas med i systemens förvaltningsplaner och kan uppkomma eller motiveras som resultat från riskanalyser, revision, erfarenheter från incidenter eller som krav i dessa riktlinjer. Systemsäkerhetsbeskrivning Säkerhetsförhållanden i ett verksamhetssystem ska dokumenteras i systemsäkerhetsbeskrivning och ska finnas för varje system. Av systemsäkerhetsbeskrivningen ska det framgå: vilka informationsmängder som hanteras i systemet och hur dessa är klassade (se avsnitt C2), hur systemet är klassas (se avsnitt C2), hur behörighetshantering och loggning går till (se avsnitt C3), hur ändringshantering går till (se avsnitt C4), användarinstruktioner med inriktning på säkerhet (se avsnitt C5), planerade och genomförda riskanalyser och resultat från dessa (C6),

43 34 (59) hur incidenthantering går till och vilka incidenter som inträffat med referenser till incidentrapporter (se avsnitt C7), och vilken kontinuitetshanterings som finns. C2. Klassificering av information och system Informationsklassning innebär att information klassas i olika nivåer utifrån dess skyddskrav. Genom att klassa information på detta sätt kan man identifiera känslig och kritisk information så att denna får tillräckligt skydd men även för att undvika att information får onödigt högt skydd med höga kostnader som följd. Verksamhetssystem ska även de klassas och klassningen ska baseras på hur den ingående informationen är klassad. Klassning av information ska ske i enlighet med Varbergs kommuns modell för informationsklassning som beskrivs i kapitel B. Hur system klassas utgör ett underlag vid kommunikation och kravställning mot den ITnära förvaltningen och mot externa leverantörer. Kapitel D riktar sig mot kommunens ITverksamhet och där finns särskilda säkerhetsåtgärder som ska genomföras utifrån klassningen av verksamhetssystem bland annat kring säkerhetskopiering och redundans. Klassning av verksamhetssystem ger också underlag för hur användare kan och får arbeta. I kapitel A, som riktar sig till samtliga medarbetare i Varbergs kommun, finns en mängd hanteringsregler som i vissa fall skiljer sig beroende på hur informationen är klassad. För att genomföra klassning av verksamhetssystem kan verktyget KLASSA användas som tagits fram av Sveriges kommuner och landsting (SKL). Varbergs kommuns modell för informationsklassning följer i stort upplägget i KLASSA även om terminologin kan skilja sig åt på somliga ställen. Om klassning av system med hjälp av KLASSA föreslår åtgärder som avviker från dessa riktlinjer så har riktlinjerna företräde. Särskilda regler och rutiner ska upprättas för hantering av konfidentiell information, till exempel skyddade personuppgifter. Sådana rutiner och regler ska finnas med i användarinstruktioner (se avsnitt C5). C3. Behörighetshantering och loggning Behörigheter innebär vissa rättigheter att använda ett verksamhetssystem på ett specificerat sätt och definierar vad en användare har rätt att utföra så som att läsa, söka, skriva, radera, skapa eller köra ett program.

44 35 (59) För att skydda information mot obehörig åtkomst behöver användare ange en identitet som kan verifieras, vanligen med användar-id och lösenord. Grundprincipen för tilldelning ska baseras på vilken information användaren behöver för att kunna utföra sina arbetsuppgifter. Olika roller som använder ett system kan ha olika behov av information och ska därför ha olika typer av behörighet. En förutsättning för detta är att systemen är kravställda med relevant funktionalitet samt att informationen är klassad och strukturerad så att rätt behörighetsstyrning kan genomföras. Inom somliga verksamheter, som till exempel vård och omsorg, kan man behöva ha teknisk behörighet till en stor mängd information. Vid en akut situation kan till exempel annan vårdpersonal än den ordinarie behöva ha tillgång till patientinformation. Här behövs istället regelstyrd åtkomstkontroll, där regler säger att man inte får ta del av information som inte rör ens arbetsuppgifter. Sådan åtkomstkontroll måste kompletteras med funktioner och rutiner för kommunicering, uppföljning, övervakning och loggning som är tillräckliga att förmå användaren att avhålla sig från åtkomst som är otillåten men tekniskt möjlig. Systemägaren bestämmer vilka som ska få tillgång till systemet och vilka behörigheter dessa ska ha. Verksamhetens art och dess krav på konfidentialitet och riktighet, tillsammans med legala krav, styr hur behörigheterna ska se ut. För tilldelning av åtkomst till externa användare gäller även att den ska vara tidsbegränsad för endast den tid som behövs för att utföra uppgiften. Om konfidentiell information kommer vara åtkomlig ska även ett sekretessavtal undertecknas. För administrativa åtkomsträttigheter gäller att de ska vara restriktiva och ge endast de rättigheter som behövs för att utföra sitt uppdrag i den administrativa roll man har. Om det finns funktioner för privilegiehöjning ska sådan användas. När det är möjligt ska man säkerställa att automatisk utloggning sker efter en definierad tids inaktivitet vilket bör vara kortare tid än för normala användare. Vid uppbyggnad av konton till systemadministratörer ska alltid individuella användaridentiteter användas och lösenord till dessa ska vara minst på 12 tecken. Identifiering och autentisering Identifiering innebär att aktiviteter och åtkomst till en IT-resurs kan knyttas till en individ, därför ska alla användar-id vara unika och personliga. Användar-ID och lösenord ger tillsammans en möjlighet till autentisering, det vill säga verifiering av uppgiven identitet. Vilken typ av autentisering som behövs styrs av hur systemet är klassat. vid åtkomst av information med höga skyddskrav avseende konfidentialitet eller riktighet ska tvåfaktorsinloggning med stark autentisering användas men kan

45 36 (59) även användas när det föreligger förhöjda skyddskrav, speciellt för att säkerställa ett tillräckligt bra skydd för personuppgifter om barn och unga. Som stark autentisering räknas identifiering av en person och verifiering av personen autenticitet genom en kombination av minst två av följande tre delar: - ett lösenord eller något annat som man vet, - ett smartkort eller något annat som man har, eller - ett fingeravtryck eller någon annan egenskap som man är. vid åtkomst till information som är klassade med förhöjda skyddskrav gällande konfidentialitet eller riktighet ska tvåfaktorsinloggning användas, till exempel genom AD-inloggning + smskod. Det kan dock förekomma situationer när även stark autentisering bör övervägas. För åtkomst till information med normala skyddskrav räcker det i regel med vanlig AD-inloggning. Lösenord är alltid konfidentiella och ska i alla skeden av sin livscykel skyddas mot åtkomst från alla andra än ägaren själv. Det innebär att rutiner ska finnas som säkerställer att lösenord skyddas till exempel från administratörer eller handläggare oavsett om lösenord tilldelas, förändras eller återställas. Det ska finnas en process eller rutin som underhåller och förvaltar behörigheter för varje verksamhetssystem så att förändringar i användares roller återspeglas i behörigheterna. För priviligierade användare med särskilda åtkomsträttigheter (administratörer) ska revison ske med kortare intervall. Vid anställning, förändring av roll eller arbetsuppgift eller avslut av anställning ska omedelbar rapportering ske till personalkontoret. Processer och rutiner för behörighetshanteringen ska följas upp och dokumenteras. Logghantering För att erhålla spårbarhet i syfte att möjliggöra utredning av incidenter och upptäcka avvikelser från interna och externa regelverk bör system övervakas och loggas kring användaraktiviteter, avvikelser, fel och informationssäkerhetshändelser. Övervakning och loggning är obligatoriskt i system som hanterar information med höga skyddskrav eller när regelstyrd behörighetshantering används istället för en teknisk. Då loggning används ska det finns processer eller rutiner som innefattar hur loggningen går till, hur loggarna ska skyddas från manipulation och obehörig åtkomst, hur länge de

46 37 (59) sparas och hur de ska granskas. Processer och rutiner för loggning ska följas upp och dokumenteras. C4. Ändringshantering Ändringar i ett system ska ske enligt Varbergs kommuns modell för Digitala tjänsters livscykel samt Systemförvaltarmodell. Det innebär att ändringar ska ske på ett strukturerat sätt för att garantera systemets säkerhet, funktionalitet, användbarhet och för att minimera antalet fel orsakade av förändringen. Större förändringar i ett system ska föregås av en riskanalys (se avsnitt C6). Avveckling av system ska samrådas med Kommunarkivet och en plan upprättas för hur information ska migreras, gallras eller slutarkiveras. Ändringar i system ska vara samordnade med den IT-nära förvaltningen. Se kapitel D7 för mer information om ändringshantering inom den IT-nära förvaltningen. C5. Användarinstruktioner Systemägare ansvarar för att det finns användarinstruktioner för användarroller som finns i ett system. Användarna ska utbildas efter instruktionerna och kontroll ska göras så att det efterlevs. Gällande informationssäkerhet ska, utöver vad som anges i kapitel A, instruktionerna bestå av följande delar: regler kring inloggning och lösenordshantering, behörigheter, särskilda instruktioner för hur konfidentiell information får hanteras, information om vad som loggas och konsekvenser av att bryta mot användarinstruktionerna, incidentrapportering (se avsnitt C7), och eventuell sekretessförbindelse. C6. Riskanalys Risker är tänkbara oönskade händelser som kan inträffa och som kan ha negativ påverkan på själva systemet eller den verksamhet eller processer systemet är tänkt att stötta. En riskanalys är en kombination av hur sannolik det är att en identifierad händelse inträffar i kombination av vilken konsekvens den innebär. Vid större förändringar av ett system ska en riskanalys alltid genomföras. Riskanalysens resultat ska dokumenteras. En riskanalys kan leda till åtgärdsbehov som behöver genomföras omedelbart eller på lite längre sikt och kan då tas med i kommande förvaltningsplan.

47 38 (59) C7. Incidenthantering Informationssäkerhetsrelaterade incidenter är oönskade händelser som kan, eller som kunnat leda till påverkan i konfidentialitet, riktighet eller tillgänglighet hos information. Systemägaren ansvarar för att incidenter relaterade till systemet upptäcks, samlas in, hanteras, sammanställs och dokumenteras. Incidenter kan delas in i mindre incidenter, allvarligare incidenter samt personuppgiftsincidenter. Mindre incidenter kan till exempel bestå av mindre tekniska fel i system eller att enstaka användare inte följer användarinstruktionerna. I systemets användarinstruktioner ska det framgå hur användare ska rapportera mindre incidenter. I somliga fall kan det räcka att incidenter rapporteras direkt till systemförvaltaren medan det i andra fall, speciellt för större system, behöver samordnas med hjälp av Kundservice. Allvarligare incidenter är större störningar i ett system som till exempel längre avbrott, dataintrång eller infektion av skadlig kod. Allvarliga incidenter ska alltid rapporteras till Kundservice och hanteras enligt fastslagen process för hantering av incidenter där krav finns på utredning och dokumentation. En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors friheter och rättigheter. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättigheterna inskränks. En personuppgiftsincident har till exempel inträffat om uppgifter om en eller flera registrerade personer har blivit förstörda, gått förlorade på annat sätt eller kommit i orätta händer. Personuppgiftsincidenter ska rapporteras omedelbart till Kundservice och hanteras enligt fastställd rutin. Observera att det är fullt möjligt att en incident som inträffat är att betrakta som både en informationssäkerhets- och personuppgiftsincident. Flera mindre incidenter av likadan art kan tillsammans utmynna i eller utgöra en allvarlig incident varpå det är viktigt att alltid rapportera de fel och brister som upptäcks. Systemförvaltaren ska årligen sammanställa samtliga incidenter som är kopplade till systemet. Kvarstående åtgärdsbehov som inträffade incidenter medfört ska tas med i kommande förvaltningsplan. C8. Kontinuitetshantering Krav på kontinuitet av driften av ett verksamhetssystem sker till stor del genom klassning av systemet. Till klassningen finns hanteringsanvisningar kopplats för att styra intervall för säkerhetskopiering och redundans, se kapitel D5 och D9 för mer information.

48 39 (59) Avbrott kan dock ändå alltid ske oavsett vilka förebyggande skyddsåtgärder som finns. Till samtliga system som är klassade med höga skyddskrav för tillgänglighet ska det finnas en avbrottsplan att använda vid större avbrott och som ska innehålla ansvarsförhållande, kontaktpersoner, eskaleringsvägar till interna och externa aktörer samt vid behov beskrivning av övergång till manuella rutiner. Liknande åtgärdsplan bör även finnas för system som är klassade med förhöjda skyddskrav gällande tillgänglighet. Nyckelpersonberoende ska undvikas och i den mån det framkommer att verksamheter är beroende av någon enstaka person ska beroendet åtgärdas till exempel genom utbildning av ersättare. Beroendet kan även minskas genom att använda vedertagna standarder eller standardprodukter. D. Informationssäkerhet i IT-nära förvaltning

49 40 (59) Inledning Detta kapitel innehåller riktlinjer rörande informationssäkerheten i Varbergs kommuns IT-miljö. Riktlinjerna vänder sig därför främst till chefer och medarbetare på Varbergs kommuns IT-avdelning men även kundtjänsten och systemägare och -förvaltare i verksamheterna är berörda av somliga delar. Riktlinjerna vänder sig även till externa parter som arbetar på uppdrag åt Varbergs kommun, till exempel inhyrda konsulter. Informationssäkerhet i IT-miljön kan även benämnas IT-säkerhet och innefattar säkerhet i olika slags IT-resurser så som system, verktyg och infrastruktur i form av hård- och mjukvara. Termen IT-resurser används genomgående i detta kapitel som ett generellt samlingsnamn om ingen specifik hård- eller mjukvara avses. Organisation, roller och ansvar Ansvar för informations- och IT-säkerhet inom IT-avdelningen följer ordinarie verksamhetsansvar. Det betyder att chefer och medarbetare inom respektive verksamhetsområde ansvarar för att upprätthålla rätt nivå av informations- och ITsäkerhet för de processer och IT-resurser de ansvarar för. Mer specifikt kan ITavdelningen sägas ansvara för den tekniska IT-säkerheten i kommunens IT-miljö och för att säkerställa att den underliggande infrastrukturen motsvarar de krav på informationssäkerhet som ställs av den klassning systemöverbygganden har. IT-chef IT-chefen är den högsta beslutsnivån inom IT-avdelningen med ansvaret för avdelningens samtliga leveranser. Rollen är den högsta eskaleringspunkten för samtliga frågor inom IT-avdelningen, däribland informations- och IT-säkerheten inom de tjänster som levereras av IT-avdelningen. Driftsansvarig Driftansvarig är övergripande ansvarig för hela driftsfasen och är eskaleringspunkt för driftsrelaterade frågor på taktisk nivå. Rollen driftansvarig har det taktiska och operativa ansvaret för IT-driften. Rollen ansvarar för alla aspekter av driften däribland informations- och IT-säkerheten inom de tjänster som levereras. Till detta hör att: säkerhetskopierat material förvaras skyddat för obehöriga, teknisk IT-infrastruktur hålls uppdaterad och säker, systemförvaltare får informera inför planerade avbrott, rutiner och instruktioner upprätthålls och efterlevs, och

50 41 (59) besluta om åtkomstkontroll till grundläggande IT-infrastruktur samt besluta vilka som ska ha tillträde till serverrum. IT-säkerhetssamordnare IT-säkerhetssamordnaren har till uppgift att samordna arbetet med säkerheten i kommunens IT-miljö samt ge stöd vid kravställning och upphandling. Ansvaret för säkerheten i olika IT-system ligger inte på IT-säkerhetssamordnaren, dennes roll är att kravställa, stödja och kontrollera arbetet med att nå och upprätthålla rätt nivå av säkerhet i dessa. För IT-säkerhetssamordnaren betyder detta i huvudsak att: utforma och förvalta riktlinjer och instruktioner för IT-säkerhet, stödja verksamheter i IT-säkerhetsfrågor, följa upp och granska efterlevnaden av riktlinjer och instruktioner för IT-säkerheten, stödja och bevaka framtagningen och genomförandet av handlingsplaner för att åtgärda brister som konstaterats i samband med säkerhetsgranskningar och riskanalyser, bistå vid utredningar av misstänkta och inträffade säkerhetsincidenter, stödja verksamheter vid extern kravställan rörande IT-säkerhet och uppföljning av externa parters säkerhetsåtaganden, leda eller delta i verksamheters riskanalyser rörande IT-relaterade risker, verka för höjande av säkerhetsmedvetande inom IT, ta fram statusrapporter för kommunen IT-säkerhet, och besvara revisionsrapporter. IT-säkerhetssamordnaren arbetar nära kommunens informationssäkerhetsansvarig och ingår i Varberg kommuns råd för informationssäkerhet och integritetsskydd. ITsäkerhetsamordnaren ska även omvärldsbevaka, delta i nätverk och samverka externt inom området IT-säkerhet. Incidentansvarig Varberg kommun använder sig av ITIL-ramverket som stöd i sin leverans av IT-tjänster. En viktig del av kommunens it-support består av ITIL-processen incident management. Incidenthanteringsprocessen omfattar flera typer av incidenter varar informationssäkerhetsincidenter och personuppgiftsincidenter är av relevans för dessa riktlinjer.

51 42 (59) Kundservice Kundservice har till uppgift att hantera första linjens support för alla IT-ärenden i kommunen. Kundservice registrerar ärenden och löser själv enklare och skyndsamma ärende. Svårare eller ej skyndsamma ärenden skickas över till andra linjens support som utgörs av IT-avdelningens olika enheter. På IT-avdelningen finns incidentansvarig som ansvarar för att inkomna incidenter hanteras enligt fastställd process. Teknisk drift och Tjänsteansvarig IT Hela den tekniska IT-miljön behöver förvaltas. Om något går sönder behöver det återställas och om något nytt ska sättas upp behöver det designas och byggas. Om något tjänat ut skall det avinstalleras och sägas upp. För att utföra dessa aktiviteter behövs kompetens runt alla de produkter och komponenter som ingår i IT-miljön. Det är funktionen teknisk drift och rollen Tjänsteansvarig IT som ansvarar för att denna kompetens finns tillgänglig för IT-organisationen. Den övergripande uppgiften för tjänsteansvarig IT är att planera, driftsätta och underhålla den tekniska IT-miljön och att detta görs utifrån de krav som verksamheterna ställer beträffande informationssäkerhet som bland annat framkommit genom klassningen av systemen. Teknisk drift fungerar även som andra linjens support för den tekniska delen av IT-miljön. D1. Hantering av tillgångar Samtliga IT-resurser ska vara identifierade och tilldelade en ägare. En förteckning över alla IT-resurser ska upprättas och underhållas, till exempel i ett CMDB (Configuration Management Database). Klassning av IT-resurser IT-resurser ska klassas i enlighet med Varbergs kommuns modell för informationsklassning. Verksamhetssystem som klassas av den verksamhetsnära förvaltningen ska ges en IT-säkerhet som överensstämmer med verksamhetens krav så att rätt säkerhetsnivå upprätthålls. Underliggande IT-resurser i form av infrastruktur, stödsystem med mera ska ges minst motsvarande klassning. Ibland kan sådan underliggande IT-resurser ges en högre klassning än de verksamhetssystem som de stödjer, exempelvis om IT-system stödjer ett flertal system som var för sig inte är kritiska. Om det inte går att göra en koppling mellan IT-resurser och klassade verksamhetssystem får man klassa IT-resursen utifrån en bedömning enligt konsekvensbeskrivningarna i klassningsmodellen. Eftersom långt från all information i alla system är klassade inom

52 43 (59) Varbergs kommun, kan preliminära klassningar behöva göras för IT-resursen. Vid osäkra fall ska försiktighetsprincipen ha företräde varpå IT-resursen hellre överklassas än underklassas. Beroende på hur IT-resurser är klassade ska olika säkerhetsåtgärder införas för att uppnå ett tillräckligt bra skydd. Bland annat ska dessa riktlinjer följas som riktar sig mot den ITnära förvaltningen. Ägare till IT-resurser ansvarar för att säkerhetsnivån är tillräcklig över IT-resursens hela livscykel. Användarinstruktioner Det ska finnas regler och instruktioner till hur alla IT-resurser får användas. Dessa ska baseras på IT-resursens klassning och skyddskrav som beskrivs ovan. Reglerna och instruktionerna ska finnas oavsett om IT-resursen endast används inom IT-avdelningen, av medarbetare inom kommunen eller av externa användare. De som använder eller har tillgång till IT-resurser ska få instruktioner om hur de hanterar dessa resurser, vilka villkor och vilket ansvar som gäller kring den åtkomst dom fått sig tilldelad. Regler och instruktioner kan exempelvis avse användning av: nätverk; hur åtkomst till nätverk får ske, hur nätverkstjänster får användas, hur autentisering ska ske och hur utrustning som ansluts till nätverket ska identifieras, operativsystem; till exempel hur åtkomst och autentisering ska ske, och klientdatorer; till exempel regler för programinstallationer som utförs av användare. D2. Styrning av åtkomst Styrning av åtkomst är grundläggande för att skydda information och IT-resurser. Behörigheter innebär vissa rättigheter att använda en informationstillgång, exempelvis ett system, på ett specifikt sätt. Behörigheter, eller åtkomsträttigheter, definierar vad en användare har rätt att utföra, till exempel läsa, söka, skriva, radera eller köra ett program. Grundprinciperna är att tilldelning av behörigheter ska baseras på användarens behov av information eller till de IT-resurser som denne behöver för att kunna utföra sina arbetsuppgifter. Om informationen är strukturerad och klassad är det enklare att upprätta åtkomstregler och behörighetstilldelningar. Inom vissa områden kan man behöva ha (tekniska) behörigheter till en stor mängd information. Det kan vara svårt att på förhand definiera arbetsuppgifter, eller i akuta situationer måste kanske annan personal än den ordinarie snabbt ha åtkomst till informationen. Då får tekniska åtkomstkontroller ersättas med administrativa processer så som regelstyrd åtkomstkontroll, där ett regelverk säger att man inte får ta del av

53 44 (59) information som inte rör ens arbetsuppgifter. I sådana system är det särskilt viktigt med funktioner och rutiner för uppföljning, övervakning och loggning. För tilldelning av åtkomst till externa användare gäller även att den ska vara tidsbegränsad för endast den tid som behövs för att utföra uppgifter. Om konfidentiell information kommer vara åtkomlig ska även ett sekretessavtal undertecknas. Identifiering och autentisering Identifiering innebär att aktiviteter och åtkomst till en IT-resurs kan knytas till en individ, därför ska alla användar-id vara unika och personliga. Användar-ID och lösenord ger tillsammans en möjlighet till autentisering, det vill säga verifiering av uppgiven identitet. Vilken typ av autentisering som behövs styrs av hur systemet är klassat: vid åtkomst av information med höga skyddskrav avseende konfidentialitet eller riktighet ska stark autentisering användas men kan även användas när det föreligger förhöjda skyddskrav, speciellt för att säkerställa ett tillräckligt bra skydd för personuppgifter om barn och unga. Som stark autentisering räknas identifiering av en person och verifiering av personen autenticitet genom en kombination av minst två av följande tre delar: - ett lösenord eller något annat som man vet, - ett smartkort eller något annat som man har, eller - ett fingeravtryck eller någon annan egenskap som man är. vid åtkomst till information som är klassade med förhöjda skyddskrav gällande konfidentialitet eller riktighet ska tvåfaktorsinloggning användas, till exempel genom AD-inloggning + smskod. Det kan dock förekomma situationer när även stark autentisering bör övervägas. För åtkomst till information med normala skyddskrav räcker det i regel med vanlig AD-inloggning. Lösenord är alltid konfidentiella och ska i alla skeden av sin livscykel skyddas mot åtkomst från alla andra än ägaren själv. Det innebär att rutiner ska finnas som säkerställer att lösenord skyddas till exempel från administratörer eller handläggare oavsett om lösenord tilldelas, förändras eller återställas.

54 45 (59) Reglering av åtkomsträttigheter Att styra åtkomst till IT-resurser syftar till att säkerställa behöriga användares åtkomst och förhindra obehörig åtkomst. Åtkomst till IT-resurser ska baseras på dess klassning, exempelvis ska ställs högre krav på metoder för autentisering vid åtkomst till information med höga skyddskrav (se ovan). För verksamhetssystem är det systemägaren i verksamheten som beslutar om vilka som ska få tillgång till systemet och vilka behörigheter dessa ska ha. Systemägaren ansvarar även för att systemet är korrekt klassat. Innan någon tilldelas åtkomst till IT-resurser som innehåller konfidentiell information ska alltid en prövning ske av den enskilde och en tystnads- och sekretessförbindelse ska undertecknas. Den enskilde ska informeras om vad förbindelsen innebär och vilket ansvar som följer. Uppföljning och revision av samtliga åtkomsträttigheter ska ske kontinuerligt. För användare med administratörsrättigheter ska revision dessutom ske med kortare intervall. Särskild uppmärksamhet behöver ägnas då medarbetare med administrativa åtkomsträttigheter slutar eller byter tjänst. Åtkomst som inte längre behövs eller behov av ny åtkomst ska regleras snarast, normalt inom en arbetsdag efter att behov upphört eller uppstår. Det ska finnas rutiner kopplat till personalavdelningen för att säkerställa att sådan reglering av åtkomst kan ske vid anställning, förändring av roll eller arbetsuppgifter samt när anställningen upphör. Systemadministratörer och systemtekniker För administrativa åtkomsträttigheter gäller att de ska vara restriktiva och ge endast de rättigheter som behövs för att utföra sitt uppdrag i den roll man har. Om det finns funktioner för privilegiehöjning ska sådan användas. När det är möjligt ska man säkerställa att automatisk utloggning sker efter en definierad tids inaktivitet vilket bör vara kortare tid än för normala användare. Vid uppbyggnad av konton till systemadministratörer och systemtekniker ska alltid individuella användaridentiteter användas. Lösenord ska vara på minst 12 tecken. Tillfällig personal och externa användare För externa användare gäller att tilldelning av åtkomst, utöver de regler som gäller all åtkomsttilldelning även ska vara tidsbegränsad för endast den tid som behövs för att utföra uppgiften. Om den externa användaren kommer få åtkomst till konfidentiell information ska det föregås av ett sekretessavtal.

55 46 (59) Säkerhetsloggning För att erhålla spårbarhet, möjliggöra hantering av incidenter och i efterhand kunna utreda vad som hänt samt för att upptäcka avvikelser från kommunens regelverk, ska kommunens IT-resurser övervakas och loggas kring till exempel användaraktiviteter, avvikelser, fel och informationssäkerhetshändelser. Loggarna ska skyddas mot manipulation och obehörig åtkomst, sparas en viss tid och granskas regelbundet. I de fall logginformation går att knyta till en enskild person är de att betrakta som personuppgifter och omfattas då av krav som regleras i dataskyddförordningen. För mer information om loggning, se avsnitt D5. D3. Kryptering Kryptering kan användas för flera ändamål såsom att förhindra obehörig åtkomst till information eller genom kryptografisk signatur garantera informationens riktighet eller äkthet. IT-avdelningen ska vid behov tillhandahålla godkända krypteringslösningar som är baserade på etablerade standarder och instruktioner för hur dessa ska användas. Behov av kryptering ska baseras på informationsklassning. Vanligtvis finns behov av kryptering då det finns höga eller förhöjda skyddskrav på konfidentialitet eller riktighet. För kommunikation av information med höga eller förhöjda skyddskrav beträffande konfidentialitet och riktighet ska all kommunikation mellan klient och system vara krypterad. För kommunikation av information med höga skyddskrav ska även kommunikationen mellan, i förekommande fall, trådlöst tangentbord och klient även vara krypterad. D4. Fysisk och miljörelaterad säkerhet Fysisk och miljörelaterad säkerhet avser att förhindra otillåten fysisk åtkomst till, skador på och störningar i IT-resurser. Generellt gäller att informationsklassning ska användas som ett stöd för att utforma det fysiska skyddet som alltid måste utgå från vilken information som hanteras samt hur skyddsvärda IT-resurserna är. Säkra utrymmen för IT-resurser Säkra utrymmen med särskilda säkerhetskrav är exempelvis rum som används för servrar, switchar och annan kommunikationsutrustning, kontorsutrymmen där känslig och konfidentiell information bearbetas samt arkiv. För IT-avdelningen är det främst datorhallar, serverrum och korskopplingsutrymmen som är aktuella.

56 47 (59) För att förhindra obehörigt tillträde, skada, stöld eller avbrott i verksamheten ska tillträde till säkra utrymmen begränsas. Endast behörig personal ska ha tillträde till dessa utrymmen. Vid behov ska Driftansvarig ha möjlighet att få tillgång till passagelogg samt vilka anställda som har tillträde till lokalen. Kontroll av vilka anställda som har tillträde till lokalerna ska göras årligen. Skydd av utrustning All IT-utrusning som kräver avbrottsfri kraft ska identifieras i samband med informationsklassning samt funktionstestas regelbundet. Det ska finnas brandsläckningsutrustning anpassad för datordrift i serverhall. Det ska också finnas brandlarm i anslutning till viktig dator- och kommunikationsutrustning. Lokaler som används som serverrum ska vara avsedda för datordrift och försedda med larmsystem för avvikande klimat och fukt. Underhåll, reparation och avveckling Underhåll av utrustning ska ske i enlighet med leverantörens anvisningar. Reparation av utrustning och IT-resurser kräver ofta åtgärder från extern personal och auktoriserade reparatörer med utbildning på den utrustning som ska hanteras. Sådan personal har ofta varken behörighet till den information som hanteras i IT-resursen eller tillträde till sådana säkra utrymmen där IT-resursen finns placerade och detta kräver därför särskild uppmärksamhet. Om underhåll och reparation ska utföras av utomstående på IT-resurser med höga skyddskrav med avseende på konfidentialitet ska vederbörande alltid underteckna ett sekretssavtal. Det kan ibland vara nödvändigt att vidta särskilda åtgärder, till exempel att konfidentiell information flyttas, raderas eller krypteras, innan utomstående kan hantera utrustningen. Detsamma gäller avveckling IT-resurser där avveckling eller återanvändning ska ske på ett sådant sätt att information inte riskerar att komma i orätta händer. D5. Driftssäkerhet Daglig drift IT-avdelningen ska bemanna andra linjens support inom grupperna klient, infrastruktur och kommunikation. Andra linjens support ska vara bemannad under vanlig kontorstid. Inom varje grupp ska det finnas en ärendekoordinator som har ansvar att tillsammans med kundservice för att lösa uppgiften eller delegera till ansvarig tekniker alternativt leverantör om ytterligare kompetens behövs för att lösa incidenten.

57 48 (59) Avbrott och störningar För att minimera eventuella skador och kostnader i samband med en störning eller avbrott ska IT-avdelningen ska ha en fastställd plan hur olika störningar ska hanteras. Namnstandard För alla objekt i AD, samt fysisk utrustning ska namnstandarder enligt framtagna rutiner följas. Detta för att man enkelt ska kunna avgöra vad objekt och utrustning har för funktioner, löpnummer eller till exempel placering. Namnstandard ska finns för användarkonton, datorer, servrar, kommunikationsutrustning, skrivare samt för övrig utrustning som supporteras av ITavdelningen. Namn på användare ska vara enhetlig i kommunen och stämma överens med folkbokföringsregistret. Driftsrutiner Driftsdokumentation Det ska finnas dokumenterade driftsrutiner som är tillgängliga för alla som behöver dem. Driftsdokumentation ska finnas för alla IT-system och bestå av väsentliga processer, såsom: installation och konfiguration, applikation, hårdvara, operativ, IP, uppgift om leverantör, systemägare och -förvaltare, förekommande integrationer, säkerhetskopiering (se nedan), rutin för återstart och återställning, hantering av logginformation, identifiering och registrering av viktiga ändringar, planering av test av ändringar, rutin för formellt godkännande av föreslagna ändringar, och länk till service level agreement (SLA).

58 49 (59) All driftdokumentation ska finnas i två identiska exemplar varav det ena ska förvaras åtskilt från driftsplatsen. Bemanning Det ska finnas en fastställd plan för bemanning för drift av IT-system inom Varberg kommun. Planen ska också inkludera kompetenskrav och en plan för ersättare vid frånvaro. Installationer och testmiljöer Systemförvaltaren har ansvar för den övergripande förändringsplaneringen på årsbasis enligt Varbergs modell för digital utveckling där möte mellan kund och kundansvarig sker på olika nivåer med förutbestämd agenda. Systemförvaltare fattar i samverkan med Change Manager, beslut om tidpunkt för installation av nya programversioner. System-/programutveckling och tester av modifierade system ska ske i separata testmiljöer om sådan förekommer. Förekomst av testmiljö styrs av systemets skyddsvärde utifrån aspekten riktighet. Rent generellt ska IT-resurser med höga skyddskrav beträffande riktighet vara försedda med separata testmiljöer. Höga skydds Olika behörigheter, med unika identiteter, ska användas i drift- och utvecklingsmiljöerna. Systemplanering och systemgodkännande Prestanda i organisationens IT-system ska säkerställas via systematisk övervakning med avstämning samt genom planläggning för framtida kapacitetskrav. Skydd mot skadlig kod För att skydda mot skadlig kod behövs metoder för att förebygga, förhindra och upptäcka skadlig kod samt för att återställa IT-miljön efter ett angrepp. Förutom tekniska skydd så är det även viktigt att alla som använder IT-resurser vet hur de kan minska risken för att drabbas av skadlig kod samt vad de ska göra om de misstänker ett angrepp av skadlig kod (se Kapitel A, avsnitt A3- Skadlig kod). Det ska finnas en fastställd rutin för återställning av IT-resurser vid händelse av angrepp av skadlig kod (se avsnitt D9 Incidenthantering).

59 50 (59) Antivirus Kommunens IT-resurser ska skyddas från skadlig kod genom att antivirusprogramvara installeras på klienter och servrar. Skyddet ska uppdateras regelbundet. Programvara ska i förbyggande syfte skanna efter skadlig kod i datorer i kommunens nätverk, filer som tas emot via nätverk eller någon form av media och i webbsidor. Brandvägg Det ska finnas en brandvägg som ska vara funktionell och uppdaterad. Det ska finnas larmgränser i brandväggarna som bevakar onormala förhållanden och säkerhetsincidenter, både externt och internt, som ska bevakas och kontrolleras regelbundet. För ytterligare skydd mot skadlig kod se avsnitt om hantering av tekniska sårbarheter nedan. Säkerhetskopiering Säkerhetskopiering av information är en viktig del av driftsäkerheten. Säkerhetskopiering ger möjlighet till att återställa en IT-resurs till ett fungerande tillstånd efter uppkomst av ett fel och att säkerställa både riktighet och tillgänglighet av information. Säkerhetskopiering syftar till att väsentlig information ska kunna rekonstrueras med hjälp av säkerhetskopior och återläsningsrutiner. Det är dock inte alltid möjligt att återställa all information. Sådan information som tillförts systemet efter senaste säkerhetskopiering går normalt sett inte att återställa. För att säkerställa att säkerhetskopierad information är läsbar under hela förvaringstiden ska regelbundna återläsningstester ske i enlighet med informationens skyddsvärde. Tjänsteansvarig ansvarar för att kontrollera att säkerhetskopierad information är läsbar under hela förvaringstiden. Ansvaret innefattar även att dokumentera vilka åtgärder som görs och när de görs för att uppfylla säkerhetskopiornas läsbarhet. Samtliga säkerhetskopior ska förvaras väl skyddade mot stöld och annan åverkan samt geografisk skiljt från driftsmiljön på ett avstånd av minst 500m. Vilka skyddsåtgärder, till exempel intervall och detaljnivå i dokumentation, som ska vidtas för specifika system ska styras av hur de är klassade i aspekterna riktighet och tillgänglighet. Generellt gäller att: Information med höga skyddskrav i avseende på riktighet ska säkerhetskopiering genomföras en gång varje timme. Säkerhetskopian ska sedan sparas i 6 månader.

60 51 (59) Test av återläsning av säkerhetskopia ska ske vid större förändringar eller minst en gång per år. Information med förhöjda skyddskrav ska säkerhetskopiering genomföras varje dag och sparas i tre månader. Test av återläsning av säkerkopia ska göras efter större förändringar eller minst en gång per år. Information med normala skyddskrav ska säkerhetskopieras varje vecka och sparas i en månad. Test av återläsning av total säkerhetskopia görs i samband med systeminförande. Kontroll av återläsning av databas ska där efter göras en gång per år. Information med låga skyddskrav ska säkerhetskopieras varannan vecka och sparas i en månad. Test av återläsning görs vid behov. Spegling Det finns en viktig skillnad mellan säkerhetskopiering och spegling (redundans). Den sistnämnda ger enbart skydd för tillgänglighet av information och inte riktighet. Vid spegling är informationen identisk vilket innebär att felaktig information återfinns på båda ställena. Säkerhetskopiering och spegling är tillsammans nödvändiga skyddsåtgärder för IT-resurser som har höga skyddskrav på både riktighet och tillgänglighet. Generellt gäller att: information med höga skyddskrav beträffande tillgänglighet ska speglas mellan två eller flera datacenter, information med förhöjda eller normala skyddskrav beträffande tillgänglighet bör speglas mellan två eller flera datacenter. Loggning och övervakning Övervakning och loggning gör det möjligt att upptäcka händelser i IT-resurser. Genom loggning kan man i efterhand analysera vad som hänt och på så sätt möjliggöra korrigerande och förebyggande åtgärder. Loggar som registrerar användaraktivitet, avvikelser, fel och informationssäkerhetshändelser ska skapas, bevaras och granskas regelbundet. Genom användning av loggverktyg samt att alla loggkällor använder gemensam och korrekt tid kan händelser och i olika IT-resurser korreleras vilket ger en bättre och mera heltäckande bild jämfört med om logg övervakas i varje system för sig. För att säkerställa all typ av loggning av händelser ska systemklockor i relevanta IT-resurser synkroniseras mot en och samma referenskälla för korrekt tid.

61 52 (59) Loggar kan innehålla konfidentiell och kritisk information. Loggningsverktyg och loggar har därför ett högt skyddsvärde och ska skyddas från obehörig åtkomst och manipulering. Det ska finnas rutiner för att hantera felmeddelanden och annan information från loggövervakningen. Säkerhetskopiering av loggar ska ske enligt normal backuprutin. Om inga andra krav framkommer genom klassning eller lagstiftning sparas loggarna i 360 dagar. Systemloggar Där det är relevant och tekniskt möjligt ska revisionsloggar innehålla följande: användaridentitet, datum, tid och detaljer kring viktiga händelser, ex av- och påloggning, registrering av lyckade och misslyckade försök till systemåtkomst, ändrad systemkonfiguration, utnyttjade av särskild åtkomsträtt, anropade filer och typ av åtkomst, nätadresser och protokoll, larm från styrsystem för åtkomst, och aktivering och avstängning av skyddssystem såsom antivirussystem och system för upptäckande av intrång. Administratörsloggar Det ska finnas administratörsloggar i nätverket som registrerar driftteknikers: konto, vilka processer som involverats, datum för in- och utloggning, tidpunkt för in- och utloggning, och misslyckade och lyckade inloggningsförsök. I de fall administratörsåtgärder inte är möjliga att logga automatiskt ska manuell logg föras och granskas regelbundet. Krav på loggar och övervakningssystem kan variera beroende på IT-resursens art och användningsområde. Det är IT-resursens klassning och system/informationsägarens krav som utgör grunden för behovet men även tidigare erfarenheter gällande systeminfiltration och missbruk samt i hur hög grad olika IT-resurser är sammankopplade kan vara risker som styr hanteringen av loggar.

62 53 (59) Hantering av tekniska sårbarheter Tekniska sårbarheter i IT-resurser kan innebära exponering för skadlig kod, dataintrång eller andra sårbarheter. Det ska finnas rutiner så att information om tekniska sårbarheter erhålls i tid, att sårbarheterna kan analyseras och att lämpliga åtgärder kan vidtas för att behandla de risker som sårbarheten medför. För att säkerställa att skydd mot skadlig programkod kontinuerligt bevakar och implementerar nya uppdateringar för både servrar och klienter, ska patchar installeras kontinuerligt. Kritiska uppdateringar ska skickas ut utan dröjsmål. Säkerhetsgransking av IT-resurser som exponeras mot internet ska ske regelbundet, men minst en gång per år, för att kontrollera att inga uppenbara sårbarheter exponeras och att tillräcklig säkerhetsnivå upprätthålls. Sådana granskningar kan till exempel bestå av skanning av sårbarheter med automatiserade verktyg eller så kallade penetrationstester. Okontrollerad installation av programvara kan medföra sårbarheter och incidenter så som obehörig åtkomst till information, förlust av riktighet eller överträdelse av immateriella rättigheter. Regler för programinstallation som utförs av användare ska upprättas och införas som definierar vilka typer av program en användare kan installera och på vilket sätt. D6. Kommunikationssäkerhet Kommunikationssäkerhet är skydd av IT-resurser och nätverk som används för datakommunikation i syfte att skydda den information som ska kommuniceras. En säkerhetsanalys ska upprättas för det interna nätverket och utföras med kontinuitet. Säkerhetsanalysen ska redovisa väsentlig information samt de samlade kraven på nätverket. Av säkerhetsanalysen ska det även framgå vilka åtgärder som är vidtagna samt de eventuella ytterligare åtgärder som behöver vidtas för att kraven på det interna nätverket ska uppfyllas. För att identifiera lokala säkerhetsbrister ska penetrationstester och interna hotanalyser genomföras kontinuerligt. Nätverkssäkerhet Nätverk måste hanteras och styras för att skydda informationen i anslutna system och tillämpningar. Det ska därför finnas rutiner för hantering av nätverk och förvaltning ska ske av ansvarig som utpekas av ansvarig för nätet. Skyddsåtgärder ska införas för att nå säkerhet för information i nätverk och anslutna tjänster utifrån klassningen av anslutna system, det vill säga krav utifrån konfidentialitet, riktighet och tillgänglighet. Krav på skydd ska även inkluderas i avtal för nätverkstjänster

63 54 (59) om dessa tjänster tillhandahålls som outsourcade tjänster. Skydd för nätverkssäkerhet kan till exempel vara: autentisering av system, kryptering, regler säkerhet och nätverksanslutning, begränsningar av systemanslutningar, brandväggar och system för detektering av intrång, loggning och övervakning av nätverk, samt separation av nätverk (segmentering). Segmentering innebär att dela upp nätverket i olika segment. En grundläggande segmentering ligger i att skilja interna nät från internet samt att till exempel användare, skrivare och övervakningsutrustning ligger i olika segment. Att styra så att utvecklings-, test- och produktionsmiljöer är skilda från varandra kan även det sägas vara en del av den grundläggande segmentering. Ytterligare segmentering ska göras då det är motiverat av säkerhetsskäl och kan då användas som en del av den totala säkerhetslösningen för att skydda information med högt skyddsvärde. För att uppnå en god nätverkssäkerhet ska IT-avdelningen även ta fram rutiner och instruktioner för: anslutning till kommunens interna nätverk vid externt arbete, anslutning av utrustning av till interna och externa nätverk, anslutning av externa nätverk till kommunens egna nät, anslutning trådlösa nätverk och anslutningar, och för anslutning av enheter till internet. Informationsöverföring Information som hanteras genom digital meddelandehantering ska ges lämpligt skydd. ITavdelningen ska ta fram kommunikationslösningar och rutiner som möjliggör en säker digital meddelandehantering med både interna och externa parter som är i enlighet med vad som regleras i dessa riktlinjer för övrigt. D7. Anskaffning och utveckling av IT-resurser Adekvat informationssäkerhet för IT-resurser ska säkerställas över hela livscykeln och börjar vid anskaffning eller utveckling av resurserna.

64 55 (59) Säkerhetskrav på IT-resurser Krav som rör informationssäkerhet ska redan från början inkluderas i kraven för nya ITresurser likväl som i krav vid förbättring av befintliga. Informationssäkerhetkraven ska spegla den klassning som tilldelats IT-resursen och som baseras på legala krav, interna regelverk, riskanalyser som följd av incidenter. Utveckling, anskaffning eller förändring av system som omfattas av verksamhetsnära förvaltning ska involvera parterna i förvaltningsorganisationen. Tjänsteansvarig ansvarar för att rätt tekniska krav formuleras som överensstämmer med verksamhetens krav så att systemet ges skydd som korrelerar till klassningen. Utveckling, anskaffning, eller förändring av underliggande IT-resurser i form av infrastruktur, stödsystem med mera ska ha minst motsvarande krav som de system som de stödjer. Observera att kraven i somliga fall kan behöva vara högre än för de system de stödjer, till exempel om en IT-resurs stödjer ett stort antal system som var för sig inte är kritiska. Informationssäkerhetskrav ska dokumenteras och granskas av alla berörda parter innan utvecklingen, anskaffningen eller förändringen påbörjas. Säkerhetskrav vid upphandling av IT-stöd Vid upphandling av IT-stöd gäller ovanstående riktlinjer för säkerhetskrav på IT-resurser. Det är ännu viktigare vid extern upphandling att vara tydlig när det gäller kravställning av informationssäkerhet. Avtal med IT-leverantörer ska reglera ansvar för implementation och upprätthållande av säkerhetsfunktioner och ansvar för testning och verifiering av dessa. Dessutom ska avtalet reglera ansvar för sådana brister som eventuellt upptäcks under drift. Om IT-leverantören använder underleverantörer för hela eller delar av leveransen ska ett avtal tecknas dem emellan som reglerar såväl affärsmässighet som säkerhet. Avtalet ska kunna delges. Följande punkter ska då som minst beaktas avseende säkerhet: hur applicerbara krav i avtal med IT-leverantör säkerställs även mot dess underleverantörer, hur rättsliga krav uppfylls, exempelvis rörande lagstiftning om sekretess och personuppgifter, vilka åtgärder som vidtas för att säkerställa att alla berörda parter är medvetna om sitt säkerhetsansvar, och vilka åtgärder som vidtas för att säkerställa kvalitet i leverans från underleverantör.

65 56 (59) Om upphandlade system dessutom ska driftsättas hos leverantören eller underleverantör tillkommer även krav som kan innefatta: fördjupande krav på leverantörens interna IT-miljö och informationssäkerhet så som certifieringar, leverantörens kontinuitetshantering, rätt till att revision utförs av leverantören av tredje part, sekretessavtal personuppgiftsbiträdesavtal, och rätt till incidentrapporter från leverantören. I kravspecifikationen ska alltid tydliga krav på säkerheten formuleras som sedan används vid utvärdering av anbud. Upphandling ska alltid göras i samverkan med Upphandlingsenheten och IT-avdelningen. För att underlätta och säkerställa att rätt krav ställs vid upphandling ska IT-avdelningen ta fram kravkataloger som bör, i möjligaste mån, baseras på och harmonisera med Varbergs kommuns modell för informationsklassning. Säkerhet vid systemutveckling Processer och rutiner ska finnas på plats för att säkerställa att informationssäkerhet designas och införs under utvecklingscykeln av IT-resurser där säkerhet måsta vara en integrerad del. Systemförändringar ska hanteras enligt ITIL processen för Change management. För systemutvecklings- och integrationsåtgärder ska utvecklingsmiljöer upprättas och skyddas över IT-resursens hela livscykel. En säker utvecklingsmiljö inkluderar människor, processer och teknik som är involverad i systemutveckling och integration. Utkontrakterad systemutveckling ska övervakas och styras samt så ska säkerhetsfunktionalitet säkerställas. En klar fördel är om leverantören använder en etablerad modell. Säkerhetskrav vid test Säkerhetsfunktionalitet ska testas vid systemutveckling och integration gentemot ställda säkerhetskrav till exempel genom användning av verktyg för kodgranskning eller skanning av sårbarheter. Testning bör utföras i realistiska testmiljöer för att säkerställa att testerna är tillförlitliga och inte kommer införa sårbarheter i verksamhetens miljö.

66 57 (59) Testdata bör skyddas och kontrolleras. System- och acceptanstest kräver normalt avsevärda mängder testdata som är så snarlik produktionsdata som möjligt. Att använda produktionsdatabaser för test bör undvikas och personuppgifter behöver i så fall anonymiseras. Test-, utvecklings- och driftmiljöer ska separeras för att minska risken obehörig åtkomst eller ändringar i produktionsmiljön. Utvecklare ska inte tillåtas att testa icke fastställda och godkända versioner eller förändringar i driftmiljö. Driftsättning ska ske enligt ITIl-processen för Change management. D8. Incidenthantering Med informationssäkerhetsincident avses händelse som har eller som skulle kunnat ha haft negativ inverkan på konfidentialitet, riktighet eller tillgänglighet hos information. Om incidenten består av eller har påverkan på de registrerades integritet kan det dessutom röra sig om en personuppgiftsincident som har tydliga krav på hur den ska hanteras enligt Dataskyddsförordnigen. Alla medarbetare är skyldiga att rapportera incidenter (se kapitel A,). Detta inkluderar självklart även medarbetare på IT-avdelningen och externa aktörer så som inhyrda konsulter. IT- och informationsrelaterade incidenter ska rapporteras så fort dom upptäcks till Kundservice. Kundservice och IT-avdelningen ska ha processer och rutiner för att säkerställa ett konsekvent och effektivt tillvägagångsätt för hantering av informationssäkerhet- och personuppgiftsincidenter. För IT används i dag ITIL-processen Incident management. Denna process innefattar flera typer av incidenter än vad som kan definieras som informations- och personuppgiftsincident enligt ovan. Incidenthanteringsprocessen måste självklart även omfatta och hantera informations- och personuppgiftsincidenter. Dessa kan till exempel vara: obehöriga har fått tillträde till kommunens lokaler, obehöriga har fått åtkomst till information, dokument, till exempel publika rapporter, har ändrats felaktigt eller utan behörighet, infektion av virus eller annan skadlig kod, information som borde ha funnits arkiverad har försvunnit, eller IT-resurser har missbrukats av medarbetare eller externa personer. Incidenter där brott eller om misstanke om brott föreligger ska alltid polisanmälas och insamling av bevis med mera ska endast göras i samråd med polis. Medarbetare och

67 58 (59) deltagare i verksamheten som upptäcker en incident där brott misstänks föreligga ska inte själva försöka bevisa detta eftersom det då kan försvåra utredningen. Kunskaper baserade på analyser av hanterade incidenter ska användas för att minska sannolikheten eller konsekvenser av liknande incidenter i framtiden. Incidenter kan delas in i mindre incidenter, allvarligare incidenter samt personuppgiftsincidenter. Mindre incidenter kan till exempel bestå av mindre tekniska fel i en IT-resurs. Mindre incidenter ska registreras och sammanställas och ska ligga till grund för kvantifiering och statistik. Allvarligare incidenter är större störningar i ett system som till exempel längre avbrott, dataintrång eller infektion av skadlig kod. Allvarliga incidenter ska alltid rapporteras till Kundservice och hanteras enligt fastslagen process för hantering av incidenter där krav finns på utredning och dokumentation. Allvarliga incidenter ska sammanställas i incidentrapporter. En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors friheter och rättigheter. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättigheterna inskränks. En personuppgiftsincident har till exempel inträffat om uppgifter om en eller flera registrerade personer har blivit förstörda, gått förlorade på annat sätt eller kommit i orätta händer. Personuppgiftsincidenter ska rapporteras omedelbart till Kundservice och hanteras enligt fastställd rutin. Observer att det är fullt möjligt att en incident som inträffat är att betrakta som både en informationssäkerhets- och personuppgiftsincident. Flera mindre incidenter av likadan art kan tillsammans utmynna i eller utgöra en allvarlig incident varpå det är viktigt att alltid rapportera de fel och brister som upptäcks. Erfarenheterna från inträffade incidenter ska ligga till grund för framtida beslut att förbättra skyddet av information. D9. Kontinuitetshantering Kontinuitetshantering innebär att man i en organisation systematiskt arbetar med att skapa en god återhämtningsförmåga för kritiska verksamhetsprocesser och minimera konsekvenserna av störningar, avbrott och katastrofer. Arbetet innefattar att identifiera kritiska verksamhetsprocesser och dess beroenden av stöd och resurser så som personal, lokaler och verktyg. IT-resurser är ofta viktiga stöd för kritiska verksamhetsprocesser som ibland kan vara helt beroende av de finns tillgängliga och fungerar som avsett. Kontinuitetshantering är

68 59 (59) därför en viktig del av informationssäkerhetsarbetet för att minimera negativa konsekvenser vid allvarliga IT-incidenter eller avbrott. Syfte är att efter ett större avbrott så snabbt som möjligt återgå till normalläge och att konsekvenserna för verksamheten ska vara så små som möjligt. både under och efter avbrottet. Det innebär att det måste finnas beredskap och planer för hur man hanterar avbrott. Så kallade avbrottsplaner ska upprättas för att säkerställa att verksamheten kan bedrivas enligt den nivå av kontinuitet som fastställts utifrån IT-resursen skyddskrav i hänseende på behov av tillgänglighet av informationen. IT-avdelningen ansvarar för att det ska finnas en kontinuitets- och avbrottsplan där det framgår vilka IT-system eller delsystem som först ska startas vid begränsad kapacitet. Generellt gäller att: information med höga eller förhöjda skyddskrav beträffande tillgänglighet ska förses med en detaljerad återställningsplan. Test och kontroll ska ske efter större förändringar och uppdateringar men minst en gång per år. information med normala skyddskrav ska förses med en generell återställningsplan. Kontroll av återläsning av databas sker årligen. Test och kontroll av total återställning sker i samband med systeminförande. information med låga skyddskrav ska förses med generell återställningsplan. Observer att samtliga avbrottsplaner är att betrakta som konfidentiella. De som direkt eller indirekt är beroende av en IT-resurs och dess information ska informeras om planerade avbrott, helst via tidsplanerade servicefönster. Oplanerade avbrott ska skyndsamt informeras via lämpliga kanaler. D10. Granskning och kontroll Granskning av IT-säkerhet för IT-resurser ska ske regelbundet för att kontrollera att inga uppenbara sårbarheter exponeras och att tillräcklig säkerhetsnivå upprätthålls. Sådan granskning kan till exempel vara skanning av sårbarheter med automatiserade verktyg eller så kallade penetrationstester. Särskilt viktigt är göra kontroll av kritiska delar av ITmiljön som direkt eller indirekt stödjer system med höga skyddsvärden samt vid införande av nya IT-lösningar. Sårbarheter och brister som upptäcks vid granskning ska tas upp för åtgärdande i till exempel förvaltningsplaner. Akuta sårbarheter och brister ska åtgärdas omedelbart. Större sårbarheter och brister ska rapporteras till informationssäkerhetsgruppen. Revision av hela eller delar av IT-miljön ska göras minst vartannat år.

69 Styrdokument (3) Dnr: Kommunstyrelsens förvaltning Thomas Bengtsson, Riktlinjer för lagring av digital information Dokumenttyp: Dokumentnamn: Diarienummer: Riktlinje Riktlinjer för lagring av digitala information KS 2018/0297 Beslutad av: Beslutsdatum: Giltig till och med: Kommunstyrelsen Tillsvidare Gäller för: Dokumentansvarig avdelning: Varbergs kommun Kommunkansliet Senast reviderad:

70 2 (3) Dnr: Inledning En viktig komponent i Varbergs kommuns systematiska arbete med informationssäkerhet och integritetsskydd är att styra lagring av digital information. Det är av yttersta vikt att lagringen sker i enlighet med legala krav vad gäller sekretess och personuppgifter samt krav och behov från interna och externa parter. För att fungera som stöd i att avgöra lämplig lagring av digital information har denna riktlinjer utarbetats. Strategin tar sin utgångspunkt i de principer som framkommer i Varbergs kommuns Policy och riktlinjer för informationssäkerhet (KS 2018/0297) och speciellt den modell för informationsklassning som beskrivs i Kapitel B i riktlinjerna. Avgränsning Riktlinjerna för lagring av digital infromation beskriver enbart hur information ska lagras utifrån aspekten konfidentialitet. Ytterligare krav på lagring av information utifrån aspekterna riktighet och tillgänglighet, så som säkerhetskopiering och redundans, beskrivs i riktlinjerna för informationssäkerhet. Geografisk reglering Riktlinjerna för lagring av digital information syftar till att uppnå relevant skyddsnivå utifrån aspekten konfidentialitet. Generellt gäller att: information med höga skyddskrav (3) ska som utgångspunkt lagras internt men kan, när så anses möjligt och lämpligt, lagras hos extern part inom Sverige. information med förhöjda skyddskrav (2) ska lagras inom EU/EES, information med normala skyddskrav (1) ska lagras inom EU/EES, information med låga skyddskrav (o) har ingen reglering av lagring. Lagring i egen regi och molntjänster Det finns en viktig skillnad mellan att lagra information egen i regi och lagring som sker genom en leverantör av molntjänster. Den lagring som sker i egen regi kan hanteras helt internt där lokal, utrustning så som servrar, serverrack och annan utrustning, samt överföring av information helt hanteras av den egna organisationen. Lagring kan även ske hos en extern part men är den egna organisationen fortfarande står för all hantering av både utrustning och kommunikation. I båda fallen anses informationen vara lagrad i egen regi även om det i det sistnämnda fallet sker i en lokal som tillhandahålls av en extern part. I motsats till lagring i egen regi finns det i dagsläget flera olika leverantörer som erbjuder lagring som så kallad molntjänst. Vid lagring i en molntjänst står den

71 3 (3) Dnr: externa parten för både lokal, utrustning och i somliga fall överföring och har i och med det tillgång till den information som lagras i molntjänsten. Det finns flera fördelar med lagring i molntjänster, så som kostnadseffektivisering och enkelhet vid uppdateringar och support. Vid lagring i extern regi tillkommer det dock alltid risker varpå det inte alltid är lämpligt. Information med höga skyddskrav på konfidentialitet ska där av inte lagras i molntjänster. Styrning av hantering av information I många av de verksamhetssystem och lagringsytor som Varbergs kommun förfogar över förekommer det information från alla fyra skyddsnivåer som beskrivs ovan. I de fall som ett verksamhetssystem består av information med flera olika skyddsnivåer ska lagringen alltid styras av den högsta angivna skyddsnivån. I praktiken innebär detta i dagsläget att en stor del av vår information får ett onödigt högt skydd, vilket bland annat kan leda till onödiga kostnader. För att möjliggöra en både kostnadseffektiv och säker lagring av information bör verksamheterna vid planering och styrning av IT-system och information, aktivt arbeta efter en renodling av den information som ska hanteras i systemet, utifrån de skyddsnivåer som beskrivs ovan. På detta sätt är det möjligt för verksamheterna att lagra mer information i molntjänster och samtidigt stärka uppsikten över mer skyddsvärd information. Undantag Undantag från riktlinjer kan beslutas av nämnd. Innan beslut om undantag ska frågan även samrådas med informationssäkerhetsansvarig. Undantag är alltid tidsbegränsade och kan som längst gälla i två år varefter ny prövning ska se för att klargöra om omständigheterna för undantaget fortfarande föreligger.

72 Beslutsförslag (2) Dnr: KS 2018/ Kommunstyrelsens arbetsutskott Kommunstyrelsens förvaltning Louise Wallmander, Förstudie Grimeton Förslag till beslut Arbetsutskottet föreslår kommunstyrelsen besluta 1. godkänna att kronor ur kommunstyrelsens ofördelade medel 2018 används till en förstudie av världsarvet Grimeton. Beskrivning av ärendet Näringsliv- och destinationskontoret NOD skall arbeta för att skapa bästa möjliga förutsättningar för att förenkla för Varbergs näringsliv genom att bistå med kunskap, kontakter, arenor för samverkan samt strategiskt utveckla och marknadsföra destinationen Varberg. Ett av Varbergs kommuns främsta historiska arv är världsarvet Grimeton. Ett världsarv är ett kulturminne och en angelägenhet som är värdefull för hela mänskligheten. Att klassas som ett världsarv ger stora fördelar då platsen garanteras skydd och vård för all framtid. Det finns många anledningar till stolthet, men även anledning till oro då förvaltning och utveckling av arvet kräver strategiska insatser för att bevara arvet och försäkra en god framtid. Varbergs kommun månar om att bevara Grimeton för framtida generationer och förädla de värden arvet för med sig. Exempel på dessa värden är det historiska värdet och kunskapen om hur tekniken inom kommunikation utvecklats från världskrigen till nutid. Utifrån ett turismperspektiv innebär ett världsarv enorma fördelar då exempelvis kulturturism och så kallade technical visits ökar över hela världen. Världsarvet kan, om det bedrivs på rätt sätt, innebära en dragningskraft för internationella turister och spiller därigenom över till omgivande näringsliv. Stiftelsen Världsarvet Grimeton, vänföreningen Alexander GVV, experter och andra intressenter har tillsammans bidragit till en långsiktig utvecklingsplan för världsarvet. Utvecklingsplanen syftar till att öka intresset hos flera målgrupper för Grimetons verksamhet, att skapa ett världsarv med global räckvidd ur ett turismperspektiv. Utvecklingen kommer att genomföras stegvis under en period på nio år, där både infrastruktur med besökscentrum, upplevelserum och praktiska faciliteter skall skapas, samt koncept för lärande, vetenskap, testmiljöer och så vidare. För att möjliggöra finansiering av de delar som berör utveckling av koncept och innovation behövs en kartläggning av möjlig extern finansiering. När möjliga strukturprogram, EU-projekt eller nationell finansiering identifierats kan även projektansökningar tas fram. Det behövs även en analys av markförhållanden för att komma vidare med frågor som berör de fysiska satsningarna på världsarvet. POSTADRESS BESÖKSADRESS Varbergs kommun Engelbrektsgatan 15, Östra Vallgatan 12 (hiss) Varberg TELEFON ORGANISATIONSNUMMER E-POSTADRESS ks@varberg.se TELEFAX WEBBPLATS

73 (2) Dnr: KS 2018/ Beslutsunderlag Övervägande För att möjliggöra en hållbar utveckling för världsarvet Grimeton och utveckla dess verksamhet för framtida generationer har det tagits fram en 9-årsplan inkluderande både fysiska investeringar och koncept som skall bidra till en ökad attraktion hos lokala, nationella och internationella besökare. För att möjliggöra uppstart av arbete med nya innovativa koncept och investeringar i nya byggnader behövs extern expertis inom extern finansiering samt markanalys. Ekonomi och verksamhet NOD föreslår med hänvisning till texten ovan att kommunstyrelsen anslår 500 tkr ur kommunstyrelsens konto för ofördelade medel för kartläggning av möjlig extern finansiering och skrivande av EU-projektansökaningar samt analys av markförhållanden för att komma vidare med frågor som berör de fysiska satsningarna på världsarvet. Samråd Kommunstyrelsens förvaltning Martin Andersson Näringslivsdirektör Protokollsutdrag Louise Wallmander Utvecklingsledare

74 Beslutsförslag (2) Dnr: KS 2018/ Kommunstyrelsen Kommunstyrelsens förvaltning Leif Andersson, Köp av Varberg Getakärr 9:18 Förslag till beslut Kommunstyrelsens arbetsutskott föreslår kommunstyrelsen 1. Godkänna upprättat köpekontrakt, varigenom Varbergs kommun förvärvar Varberg Getakärr 9:18 för kronor. Säljaren har undertecknat köpekontraktet Att kostnaden ska belasta kommunens konto för markförvärv, objekt Beskrivning av ärendet I samband med att säljaren planerade för utbyggnad och fortsatt renovering av fastigheten ställdes frågan till kommunen om att få köpa till mer mark i området. Då området är med i utbyggnadsplanerna för Västerport så föreslog kommunen istället en tomt på Nedregårdens verksamhetsområde och att kommunen förvärvar säljarens fastighet. Säljaren godtog förslaget och har skrivit på köpeavtal för Eldstaden 8, undertecknat Beslutsunderlag 1. Köpekontrakt Övervägande Samhällsutvecklingskontoret anser att kommunen bör tillvarata möjligheten att köpa fastigheten. Om köpet genomförs så får kommunen full rådighet när detaljplan för området ska göras framöver. Ekonomi och verksamhet Köpeskillingen är kronor samt lagfartskostnad kronor. Kostnaden ska belasta kommunens konto för markförvärv, objekt Särskilt hyresavtal ska upprättas under tiden säljaren bygger nytt på Eldstaden 8. När säljaren lämnar fastigheten kan lokalerna hyras ut tills ny detaljplan är klar. Här har Trafikverket tillfrågats och har informerat om att det kan vara intressesant för kommande företag som ska bygga tunneln. POSTADRESS BESÖKSADRESS Varbergs kommun Engelbrektsgatan 15, Östra Vallgatan 12 (hiss) Varberg TELEFON ORGANISATIONSNUMMER E-POSTADRESS ks@varberg.se TELEFAX WEBBPLATS

75 Samråd Ärendet har samråtts inom samhällsutvecklingskontoret. Kommunstyrelsens förvaltning Magnus Sjöberg Avdelningschef Protokollsutdrag Samhällsutvecklingskontoret Säljaren Ekonomikontoret Leif Andersson Markförvaltare 2 (2) Dnr: KS 2018/0279-2

76 dmaflimm ' :

77 Markanvisning för Bua hamnplan UTGÅR POSTADRESS BESÖKSADRESS Varbergs kommun Engelbrektsgatan 15, Östra Vallgatan 12 (hiss) Varberg TELEFON ORGANISATIONSNUMMER E-POSTADRESS TELEFAX WEBBPLATS

78 Motion om att bygga Äldreboende i Bua Hamn UTGÅR POSTADRESS BESÖKSADRESS Varbergs kommun Engelbrektsgatan 15, Östra Vallgatan 12 (hiss) Varberg TELEFON ORGANISATIONSNUMMER E-POSTADRESS ks@varberg.se TELEFAX WEBBPLATS

79 Information om hotelletablering

80 Information om hotelletablering

81 Beslutsförslag (2) Dnr: KS 2018/ Kommunstyrelsen Kommunstyrelsens förvaltning Louise Wallmander, Svar på ansökan om förlustgaranti för Folksam Grand Prix Förslag till beslut Arbetsutskottet föreslår kommunstyrelsen besluta 1. anslå kronor ur kommunstyrelsens konto för ofördelade medel 2019 för att gå in med en förlustgaranti på upp till max kronor för Folksam Grand Prix som förväntas att ske sommaren en eventuell begäran från Varbergs GIF Friidrott om att nyttja förlustgarantin ska inkomma till kommunen senast 6 september Beskrivning av ärendet Varbergs GIF Friidrott är en förening som sedan 1905 haft stort engagemang i breddverksamhet och tävlingsidrott. På senare tid även ökad tillgänglighet genom integrationsprojekt och aktiviteter för unga i behov av särskilt stöd. Varbergs GIF skall tillsammans med SFIF Svenska Friidrottsförbundet arrangera Folksam Grand Prix som bland annat sänds på TV. För att möjliggöra detta arrangemang krävs en förlustgaranti från Varbergs kommun. Arrangemanget kommer att inspirera människor till en aktiv livsstil och förhoppningsvis locka fler nya deltagare och ledare till klubben. Ett starkt föreningsliv är bra för ett samhälle och arrangemanget kan även lyfta Varberg som sommarstad och locka turister vilket ger positiva effekter för exempelvis hotell- och restaurangnäringen. Det kommer att skapas kringarrangemang runt Folksam Grand Prix, såsom lägerverksamhet, publika uppvisningar med mera, vilket kan locka storpublik. Den nya inomhusanläggningen Tresteget har potential för tävlingar i SM-storlek och kan på detta vis marknadsföras som en framtida värd för stora tävlingar samt locka samarbetspartners som stärker idrotten. Folksam Grand Prix är den svenska galaserien som med fyra deltävlingar lockar internationellt deltagande och tv-publik. Galorna arrangeras i Göteborg, Sollentuna och Karlstad, samt möjligtvis i Varberg. Varberg GIF ansvarar för arrangemangets genomförande och tillsätter lokal arrangemangsorganisation. Tävlingen erhåller 500 tkr från SFIF som används till idrottsmän och prispengar. Arrangören tar samtliga biljettintäkter, arenaförsäljning och de lokala marknadsrättigheterna som upplåtits. Beslutsunderlag Beslutsförslag 29 maj POSTADRESS BESÖKSADRESS Varbergs kommun Engelbrektsgatan 15, Östra Vallgatan 12 (hiss) Varberg TELEFON ORGANISATIONSNUMMER E-POSTADRESS ks@varberg.se TELEFAX WEBBPLATS

82 (2) Dnr: KS 2018/ Övervägande Varbergs kommun går in med förlustgaranti på max 200 tkr till ett internationellt profilbärande evenemang. Evenemangen skapar besöksnäringsintäkter, vilket genererar arbetstillfällen, vilket i sin tur skapar skatteintäkter. Det ger positiva effekter för föreningslivet att de involveras i samarbetet och detta har betydelse för Varberg som föreningsstad. Platsattraktionen stärks genom att Varberg upplevs som en aktiv och spännande destination. Om föreningen behöver nyttja förlustgarantin ska en begäran om detta skickas in till kommunen senast 6 september Ett särskilt beslut ska därefter fattas om förlustgarantin ska betalas ut eller inte, utifrån en bedömning av arrangemangets räkenskaper. Ekonomi och verksamhet NOD föreslår med hänvisning till texten ovan att kommunstyrelsen anslår kronor kr ur kommunstyrelsens konto för ofördelade medel 2019 för att möjliggöra förlustgaranti för en av fyra galatävlingar i Sverige under Folksam Grand Prix. Evenemanget är ett varumärkesstärkande evenemang och positivt för destinationen. Samarbetet genomförs för att skapa upplevelser och marknadsföring av destinationen, stärka platsvarumärket Varberg inspirerar och bidra till Varbergs attraktionskraft. Kommunstyrelsens förvaltning Martin Andersson Näringslivsdirektör Protokollsutdrag Varbergs GIF Friidrott Ekonomikontoret Louise Wallmander Utvecklingsledare

83